Configurar um Google Cloud provedor de identidade

Compatível com:

É possível usar o Cloud Identity, o Google Workspace ou um provedor de identidade de terceiros (como o Okta ou o Azure AD) para gerenciar usuários, grupos e autenticação.

Esta página descreve como usar o Cloud Identity ou o Google Workspace. Para saber como configurar um provedor de identidade de terceiros, consulte Configurar um provedor de identidade de terceiros para as Operações de segurança do Google.

Ao usar o Cloud Identity ou o Google Workspace, você cria contas de usuário gerenciadas para controlar o acesso aos recursos do Google Cloud Google e ao Google SecOps.

Você cria políticas do IAM que definem quais usuários e grupos têm acesso aos recursos do Google SecOps. Essas políticas do IAM são definidas usando funções e permissões predefinidas fornecidas pelo Google SecOps ou funções personalizadas criadas por você.

Durante as etapas para vincular o Google SecOps aos serviços do Google Cloud , você configura uma conexão com a identidade do Google Cloud . Depois que isso for configurado, o Google SecOps será integrado diretamente ao Cloud Identity ou ao Google Workspace para autenticar usuários e permitir ou negar o acesso a recursos com base nas políticas do IAM criadas.

Consulte Identidades para usuários para informações detalhadas sobre como criar contas do Cloud Identity ou do Google Workspace.

Conceder uma função para ativar o login no Google SecOps

As etapas a seguir descrevem como conceder um papel específico usando o IAM para que um usuário possa fazer login no Google SecOps. Execute a configuração usando o projeto Google Cloud vinculado ao Google SecOps que você criou anteriormente.

Este exemplo usa o comando gcloud. Para usar o console do Google Cloud, consulte Conceder um único papel.

  1. Conceda o papel de Leitor da API Chronicle (roles/chronicle.viewer) a usuários ou grupos que precisam ter acesso ao aplicativo Google Security Operations.

    O exemplo a seguir concede o papel de leitor da API Chronicle a um grupo específico:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "group:GROUP_EMAIL"
    

    Substitua:

    Para conceder o papel de leitor da API Chronicle a um usuário específico, execute o seguinte comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "principal:USER_EMAIL"
    

    Substitua USER_EMAIL: o endereço de e-mail do usuário, como alice@example.com.

    Para conferir exemplos de como conceder papéis a outros membros, como um grupo ou domínio, consulte a documentação de referência gcloud projects add-iam-policy-binding e Identificadores principais.

  2. Configure outras políticas do IAM para atender aos requisitos da sua organização.

A seguir

Depois de concluir as etapas deste documento, faça o seguinte:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.