Google Cloud-Identitätsanbieter konfigurieren
Sie können Cloud Identity, Google Workspace oder einen externen Identitätsanbieter (z. B. Okta oder Azure AD) verwenden, um Nutzer, Gruppen und Authentifizierung zu verwalten.
Auf dieser Seite wird die Verwendung von Cloud Identity oder Google Workspace beschrieben. Informationen zum Konfigurieren eines externen Identitätsanbieters finden Sie unter Externen Identitätsanbieter für Google Security Operations konfigurieren.
Wenn Sie Cloud Identity oder Google Workspace verwenden, erstellen Sie verwaltete Nutzerkonten, um den Zugriff auf Google Cloud-Ressourcen und Google SecOps zu steuern.
Sie erstellen IAM-Richtlinien, die festlegen, welche Nutzer und Gruppen Zugriff auf Google SecOps-Features haben. Diese IAM-Richtlinien werden mithilfe von vordefinierten Rollen und Berechtigungen definiert, die von Google SecOps bereitgestellt werden, oder mithilfe von benutzerdefinierten Rollen, die Sie erstellen.
Während der Schritte zum Verknüpfen von Google SecOps mit Google Cloud-Diensten konfigurieren Sie eine Verbindung zu Google Cloud Identity. Nach der Konfiguration lässt sich Google SecOps direkt in Cloud Identity oder Google Workspace einbinden, um Nutzer zu authentifizieren und den Zugriff auf Features anhand der von Ihnen erstellten IAM-Richtlinien zuzulassen oder abzulehnen.
Ausführliche Informationen zum Erstellen von Cloud Identity- oder Google Workspace-Konten finden Sie unter Identitäten für Nutzer.
Rolle für die Anmeldung in Google SecOps gewähren
In den folgenden Schritten wird beschrieben, wie Sie mithilfe von IAM eine bestimmte Rolle zuweisen, damit sich ein Nutzer in Google SecOps anmelden kann. Führen Sie die Konfiguration mit dem zuvor erstellten Google SecOps-gebundenen Google Cloud-Projekt durch.
In diesem Beispiel wird der Befehl gcloud verwendet. Informationen zur Verwendung der Google Cloud Console finden Sie unter Einzelne Rolle zuweisen.
Gewähren Sie Nutzern oder Gruppen, die Zugriff auf die Google Security Operations-Anwendung haben sollen, die Rolle Chronicle API Viewer (
roles/chronicle.viewer).Im folgenden Beispiel wird einer bestimmten Gruppe die Rolle „Chonicle API Viewer“ zugewiesen:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"Ersetzen Sie Folgendes:
PROJECT_ID: durch die Projekt-ID des an Google Security Operations gebundenen Projekts, das Sie unter Google Cloud-Projekt für Google Security Operations konfigurieren konfiguriert haben. Unter Projekte erstellen und verwalten finden Sie eine Beschreibung der Felder, die ein Projekt identifizieren.GROUP_EMAIL: der E-Mail-Alias für die Gruppe, z. B.analyst-t1@example.com.
Führen Sie den folgenden Befehl aus, um einem bestimmten Nutzer die Rolle „Chronicle API Viewer“ zu gewähren:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"Ersetzen Sie
USER_EMAILdurch die E-Mail-Adresse des Nutzers, z. B.alice@example.com.Beispiele für das Zuweisen von Rollen an andere Mitglieder, z. B. einer Gruppe oder Domain, finden Sie in der Referenzdokumentation zu gcloud projects add-iam-policy-binding und Haupt-IDs.
Konfigurieren Sie zusätzliche IAM-Richtlinien, um die Anforderungen Ihrer Organisation zu erfüllen.
Nächste Schritte
Führen Sie nach Abschluss der Schritte in diesem Dokument die folgenden Schritte aus:
Führen Sie die Schritte zum Verknüpfen einer Google Security Operations-Instanz mit Google Cloud-Diensten aus.
Wenn Sie das Audit-Logging noch nicht eingerichtet haben, fahren Sie mit dem Aktivieren des Audit-Loggings von Google Security Operations fort.
Wenn Sie für Google Security Operations konfigurieren, führen Sie zusätzliche Schritte unter Nutzer in Google Security Operations bereitstellen, authentifizieren und zuordnen aus.
Zum Konfigurieren des Zugriffs auf Features führen Sie zusätzliche Schritte unter Zugriffssteuerung für Features mit IAM konfigurieren und Google Security Operations-Berechtigungen in IAM aus