Configurer un fournisseur d'identité Google Cloud
Vous pouvez utiliser Cloud Identity, Google Workspace ou un fournisseur d'identité tiers (tel qu'Okta ou Azure AD) pour gérer les utilisateurs, les groupes et l'authentification.
Cette page explique comment utiliser Cloud Identity ou Google Workspace. Pour en savoir plus sur la configuration d'un fournisseur d'identité tiers, consultez Configurer un fournisseur d'identité tiers pour Google Security Operations.
Lorsque vous utilisez Cloud Identity ou Google Workspace, vous créez des comptes utilisateur gérés pour contrôler l'accès aux ressources Google Cloud et à Google SecOps.
Vous créez des stratégies IAM qui définissent quels utilisateurs et groupes ont accès aux fonctionnalités Google SecOps. Ces stratégies IAM sont définies à l'aide de rôles et d'autorisations prédéfinis fournis par Google SecOps ou de rôles personnalisés que vous créez.
Au cours des étapes permettant d'associer Google SecOps aux services Google Cloud, vous configurez une connexion à Google Cloud Identity. Une fois cette configuration effectuée, Google SecOps s'intègre directement à Cloud Identity ou à Google Workspace pour authentifier les utilisateurs et autoriser ou refuser l'accès aux fonctionnalités en fonction des stratégies IAM que vous créez.
Pour en savoir plus sur la création de comptes Cloud Identity ou Google Workspace, consultez la page Identités pour les utilisateurs.
Accorder un rôle pour activer la connexion à Google SecOps
Les étapes suivantes décrivent comment attribuer un rôle spécifique à l'aide d'IAM afin qu'un utilisateur puisse se connecter à Google SecOps. Effectuez la configuration à l'aide du projet Google Cloud lié à Google SecOps que vous avez créé précédemment.
Cet exemple utilise la commande gcloud
. Pour utiliser la console Google Cloud, consultez la page Accorder un seul rôle.
Accordez le rôle Lecteur de l'API Chronicle (
roles/chronicle.viewer
) aux utilisateurs ou aux groupes qui doivent avoir accès à l'application Google Security Operations.L'exemple suivant attribue le rôle Lecteur de l'API Chronicle à un groupe spécifique:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"
Remplacez les éléments suivants :
PROJECT_ID
: par l'ID du projet lié à Google Security Operations que vous avez configuré dans Configurer un projet Google Cloud pour Google Security Operations. Pour obtenir une description des champs qui identifient un projet, consultez Créer et gérer des projets.GROUP_EMAIL
: alias d'adresse e-mail du groupe, par exempleanalyst-t1@example.com
.
Pour attribuer le rôle de lecteur de l'API Chronicle à un utilisateur spécifique, exécutez la commande suivante:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"
Remplacez
USER_EMAIL
: adresse e-mail de l'utilisateur, par exemplealice@example.com
.Pour obtenir des exemples d'attribution de rôles à d'autres membres, tels qu'un groupe ou un domaine, consultez la documentation de référence sur gcloud projects add-iam-policy-binding et sur les identifiants principaux.
Configurez des stratégies IAM supplémentaires pour répondre aux exigences de votre organisation.
Étapes suivantes
Après avoir effectué les étapes décrites dans ce document, procédez comme suit:
Suivez la procédure pour associer une instance Google Security Operations aux services Google Cloud.
Si vous n'avez pas encore configuré les journaux d'audit, passez à l'étape Activer les journaux d'audit Google Security Operations.
Si vous effectuez la configuration pour Google Security Operations, effectuez les étapes supplémentaires de la section Provisionner, authentifier et mapper les utilisateurs dans Google Security Operations.
Pour configurer l'accès aux fonctionnalités, suivez les étapes supplémentaires des sections Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM et Autorisations Google Security Operations dans IAM.