Configurare un provider di identità Google Cloud

Supportato in:

Puoi utilizzare Cloud Identity, Google Workspace o un provider di identità di terze parti (ad esempio Okta o Azure AD) per gestire utenti, gruppi e autenticazione.

Questa pagina descrive come utilizzare Cloud Identity o Google Workspace. Per informazioni sulla configurazione di un provider di identità di terze parti, consulta Configurare un provider di identità di terze parti per Google Security Operations.

Quando utilizzi Cloud Identity o Google Workspace, crei account utente gestiti per controllare l'accesso alle risorse Google Cloud e a Google SecOps.

Creazione di criteri IAM che definiscono quali utenti e gruppi hanno accesso alle funzionalità di Google SecOps. Questi criteri IAM vengono definiti utilizzando ruoli e autorizzazioni predefiniti forniti da Google SecOps o ruoli personalizzati creati da te.

Durante i passaggi per collegare Google SecOps ai servizi Google Cloud, configuri una connessione a Google Cloud Identity. Una volta configurata, Google SecOps si integra direttamente con Cloud Identity o Google Workspace per autenticare gli utenti e consentire o negare l'accesso alle funzionalità in base ai criteri IAM che crei.

Consulta Identità per gli utenti per informazioni dettagliate sulla creazione di account Cloud Identity o Google Workspace.

Concedi un ruolo per abilitare l'accesso a Google SecOps

I passaggi che seguono descrivono come concedere un ruolo specifico utilizzando IAM in modo che un utente possa accedere a Google SecOps. Esegui la configurazione utilizzando il progetto Google Cloud associato a Google SecOps che hai creato in precedenza.

In questo esempio viene utilizzato il comando gcloud. Per utilizzare la console Google Cloud, consulta Concedere un singolo ruolo.

  1. Concedi il ruolo Chronicle API Viewer (roles/chronicle.viewer) agli utenti o ai gruppi che devono avere accesso all'applicazione Google Security Operations.

    Il seguente esempio concede il ruolo Visualizzatore dell'API Chronicle a un gruppo specifico:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "group:GROUP_EMAIL"
    

    Sostituisci quanto segue:

    Per concedere il ruolo Visualizzatore API Chronicle a un utente specifico, esegui il seguente comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "principal:USER_EMAIL"
    

    Sostituisci USER_EMAIL: l'indirizzo email dell'utente, ad esempio alice@example.com.

    Per esempi su come concedere ruoli ad altri membri, ad esempio un gruppo o un dominio, consulta la documentazione di riferimento di gcloud projects add-iam-policy-binding e Principal Identifiers.

  2. Configura criteri IAM aggiuntivi per soddisfare i requisiti della tua organizzazione.

Passaggi successivi

Dopo aver completato i passaggi descritti in questo documento, svolgi quanto segue: