Mengonfigurasi penyedia identitas Google Cloud
Anda dapat menggunakan Cloud Identity, Google Workspace, atau identitas pihak ketiga (seperti Okta atau Azure AD) untuk mengelola pengguna, grup, dan autentikasi.
Halaman ini menjelaskan cara menggunakan Cloud Identity atau Google Workspace. Untuk mengetahui informasi tentang cara mengonfigurasi penyedia identitas pihak ketiga, lihat Mengonfigurasi penyedia identitas pihak ketiga untuk Google Security Operations.
Saat menggunakan Cloud Identity atau Google Workspace, Anda membuat akun pengguna terkelola untuk mengontrol akses ke resource Google Cloud dan ke Google SecOps.
Anda membuat kebijakan IAM yang menentukan pengguna dan grup yang memiliki akses keamanan pada fitur Google SecOps. Kebijakan IAM berikut ditentukan menggunakan peran dan izin yang telah ditetapkan yang disediakan oleh Google SecOps atau peran khusus yang Anda buat.
Saat melakukan langkah-langkah untuk menautkan SecOps Google ke layanan Google Cloud, Anda perlu mengonfigurasi koneksi ke Google Cloud Identity. Setelah ini dikonfigurasi, Google SecOps terintegrasi langsung dengan Cloud Identity atau Google Workspace untuk mengautentikasi pengguna dan mengizinkan atau menolak akses ke fitur berdasarkan IAM kebijakan yang dibuat.
Lihat Identitas untuk pengguna untuk mengetahui informasi mendetail terkait cara membuat akun Cloud Identity atau Google Workspace.
Memberikan peran untuk mengaktifkan login ke Google SecOps
Langkah-langkah berikut menjelaskan cara memberikan peran tertentu menggunakan IAM agar pengguna dapat login ke Google SecOps. Lakukan konfigurasi menggunakan project Google Cloud terikat SecOps Google yang Anda buat sebelumnya.
Contoh ini menggunakan perintah gcloud. Untuk menggunakan Konsol Google Cloud,
lihat Memberikan satu peran.
Berikan Chronicle API Viewer (
roles/chronicle.viewer) kepada pengguna atau grup yang seharusnya memiliki akses ke aplikasi Google Security Operations.Contoh berikut memberikan peran Chronicle API Viewer ke grup tertentu:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"Ganti kode berikut:
PROJECT_ID: dengan project ID dari project yang terikat dengan Google Security Operations yang Anda konfigurasikan di Mengonfigurasi project Google Cloud untuk Google Security Operations. Lihat Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.GROUP_EMAIL: alias email untuk grup, sepertianalyst-t1@example.com.
Untuk memberikan peran Chronicle API Viewer kepada pengguna tertentu, jalankan perintah berikut:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"Ganti
USER_EMAIL: alamat email pengguna pengguna, sepertialice@example.com.Untuk melihat contoh cara memberikan peran kepada anggota lain, seperti grup atau domain, lihat Dokumentasi referensi gcloud projects add-iam-policy-binding dan ID utama.
Konfigurasi kebijakan IAM tambahan untuk memenuhi persyaratan organisasi Anda.
Langkah selanjutnya
Setelah menyelesaikan langkah-langkah dalam dokumen ini, lakukan hal berikut:
Lakukan langkah-langkah untuk Menautkan instance Google Security Operations ke layanan Google Cloud.
Jika Anda belum menyiapkan logging audit, lanjutkan dengan mengaktifkan logging audit Google Security Operations.
Jika Anda mengonfigurasi Google Security Operations, lakukan langkah tambahan di Sediakan, autentikasi, dan petakan pengguna di Google Security Operations.
Untuk mengonfigurasi akses ke fitur, lakukan langkah-langkah tambahan di Mengonfigurasi kontrol akses fitur menggunakan IAM dan izin Google Security Operations di IAM