Mengonfigurasi penyedia identitas Google Cloud

Anda dapat menggunakan Cloud Identity, Google Workspace, atau penyedia identitas pihak ketiga (seperti Okta atau Azure AD) untuk mengelola pengguna, grup, dan autentikasi.

Halaman ini menjelaskan cara menggunakan Cloud Identity atau Google Workspace. Untuk informasi tentang cara mengonfigurasi penyedia identitas pihak ketiga, lihat Mengonfigurasi penyedia identitas pihak ketiga untuk Google Security Operations.

Saat menggunakan Cloud Identity atau Google Workspace, Anda membuat akun pengguna terkelola untuk mengontrol akses ke resource Google Cloud dan ke Google SecOps.

Anda membuat kebijakan IAM yang menentukan pengguna dan grup mana yang memiliki akses ke fitur Google SecOps. Kebijakan IAM ini ditentukan menggunakan peran dan izin bawaan yang disediakan oleh Google SecOps atau peran kustom yang Anda buat.

Selama langkah-langkah untuk menautkan Google SecOps ke layanan Google Cloud, Anda mengonfigurasi koneksi ke identitas Google Cloud. Setelah dikonfigurasi, Google SecOps akan terintegrasi langsung dengan Cloud Identity atau Google Workspace untuk mengautentikasi pengguna dan mengizinkan atau menolak akses ke fitur berdasarkan kebijakan IAM yang Anda buat.

Lihat Identitas untuk pengguna untuk mengetahui informasi mendetail tentang cara membuat akun Cloud Identity atau Google Workspace.

Memberikan peran untuk mengaktifkan login ke Google SecOps

Langkah-langkah berikut menjelaskan cara memberikan peran tertentu menggunakan IAM sehingga pengguna dapat login ke Google SecOps. Lakukan konfigurasi menggunakan project Google Cloud yang terikat dengan Google SecOps yang Anda buat sebelumnya.

Contoh ini menggunakan perintah gcloud. Untuk menggunakan konsol Google Cloud, lihat Memberikan satu peran.

1. Berikan peran Chronicle API Viewer (roles/chronicle.viewer) kepada pengguna atau grup yang harus memiliki akses ke aplikasi Google Security Operations.

   Contoh berikut memberikan peran Chronicle API Viewer ke grup tertentu:

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "group:GROUP_EMAIL"
   

   Ganti kode berikut:

   • PROJECT_ID: dengan project ID project terikat Google Security Operations yang Anda konfigurasikan di Mengonfigurasi project Google Cloud untuk Google Security Operations. Lihat Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.
   • GROUP_EMAIL: alias email untuk grup, seperti analyst-t1@example.com.

   Untuk memberikan peran Chronicle API Viewer kepada pengguna tertentu, jalankan perintah berikut:

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "principal:USER_EMAIL"
   

   Ganti USER_EMAIL: alamat email pengguna, seperti alice@example.com.

   Untuk contoh cara memberikan peran kepada anggota lain, seperti grup atau domain, lihat dokumentasi referensi gcloud projects add-iam-policy-binding dan ID akun utama.

2. Konfigurasikan kebijakan IAM tambahan untuk memenuhi persyaratan organisasi Anda.

Langkah selanjutnya

Setelah menyelesaikan langkah-langkah dalam dokumen ini, lakukan hal berikut:

• Lakukan langkah-langkah untuk Menghubungkan instance Google Security Operations ke layanan Google Cloud.

• Jika Anda belum menyiapkan logging audit, lanjutkan dengan mengaktifkan logging audit Google Security Operations.

• Jika Anda mengonfigurasi untuk Google Security Operations, lakukan langkah-langkah tambahan di Menyediakan, mengautentikasi, dan memetakan pengguna di Google Security Operations.

• Untuk mengonfigurasi akses ke fitur, lakukan langkah-langkah tambahan di Mengonfigurasi kontrol akses fitur menggunakan IAM dan Izin Google Security Operations di IAM