Configurer un fournisseur d'identité Google Cloud

Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité tiers (tel qu'Okta ou Azure AD) pour gérer les utilisateurs, les groupes et l'authentification.

Cette page explique comment utiliser Cloud Identity ou Google Workspace.

Lorsque vous utilisez Cloud Identity ou Google Workspace, vous créez des comptes utilisateur gérés pour contrôler l'accès aux ressources Google Cloud et à Google SecOps.

Vous créez des stratégies IAM qui définissent les utilisateurs et les groupes ayant accès aux fonctionnalités Google SecOps. Ces règles IAM sont définies à l'aide de rôles et d'autorisations prédéfinis fournis par Google SecOps ou de rôles personnalisés que vous créez.

Lorsque vous associez une instance Google SecOps à des services Google Cloud, configurez une connexion à un IdP Google Cloud . L'instance Google SecOps s'intègre directement à Cloud Identity ou Google Workspace pour authentifier les utilisateurs et appliquer le contrôle des accès en fonction des règles IAM que vous avez configurées.

Pour en savoir plus sur la création de comptes Cloud Identity ou Google Workspace, consultez Identités pour les utilisateurs.

Attribuer un rôle pour permettre la connexion à Google SecOps

Les étapes suivantes décrivent comment attribuer un rôle spécifique à l'aide d'IAM afin qu'un utilisateur puisse se connecter à Google SecOps. Effectuez la configuration à l'aide du projet Google Cloud lié à Google SecOps que vous avez créé précédemment.

1. Attribuez le rôle Lecteur de l'API Chronicle (roles/chronicle.viewer) aux utilisateurs ou groupes qui doivent avoir accès à l'application Google Security Operations.

   • L'exemple suivant accorde le rôle "Lecteur de l'API Chronicle" à un groupe spécifique :

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role roles/chronicle.viewer \
       --member "group:GROUP_EMAIL"
     

     Remplacez les éléments suivants :

     • PROJECT_ID : ID de projet du projet lié à Google Security Operations que vous avez configuré dans Configurer un projet Google Cloud pour Google Security Operations. Pour obtenir une description des champs permettant d'identifier un projet, consultez Créer et gérer des projets.
     • GROUP_EMAIL : alias de messagerie du groupe, tel que analyst-t1@example.com.

   • Pour attribuer le rôle Lecteur de l'API Chronicle à un utilisateur spécifique, exécutez la commande suivante :

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role roles/chronicle.viewer \
       --member "principal:USER_EMAIL"
     

     Remplacez USER_EMAIL par l'adresse e-mail de l'utilisateur, par exemple alice@example.com.

   • Pour obtenir des exemples d'attribution de rôles à d'autres membres, tels qu'un groupe ou un domaine, consultez la documentation de référence gcloud projects add-iam-policy-binding et Identifiants de comptes principaux.

2. Configurez des stratégies IAM supplémentaires pour répondre aux exigences d'accès et de sécurité de votre organisation.

Étapes suivantes

Une fois les étapes de ce document effectuées, procédez comme suit :

• Suivez la procédure pour associer une instance Google Security Operations à des services Google Cloud .

• Si vous n'avez pas encore configuré la journalisation d'audit, activez la journalisation d'audit Google Security Operations.

• Si vous configurez Google Security Operations, effectuez des étapes supplémentaires dans Provisionner, authentifier et mapper des utilisateurs dans Google Security Operations.

• Pour configurer l'accès aux fonctionnalités, suivez les étapes supplémentaires décrites dans Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM et Autorisations Google Security Operations dans IAM.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.