Google Cloud ID プロバイダを構成する
Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダ(Okta や Azure AD など)を使用してユーザー、グループ、認証を管理できます。
このページでは、Cloud Identity または Google Workspace の使用方法について説明します。サードパーティの ID プロバイダの構成については、Google Security Operations 用にサードパーティ ID プロバイダを構成するをご覧ください。
Cloud Identity または Google Workspace を使用する場合は、管理対象ユーザー アカウントを作成して、Google Cloud リソースと Google SecOps へのアクセスを制御します。
Google SecOps 機能へのアクセス権を付与するユーザーとグループを定義する IAM ポリシーを作成します。これらの IAM ポリシーは、Google SecOps または作成したカスタムロールによって指定される事前定義のロールと権限を使用して定義します。
Google SecOps を Google Cloud サービスにリンクする手順を実施する際に、Google Cloud Identity への接続を構成します。これを構成すると、Google SecOps は Cloud Identity または Google Workspace と直接統合され、ユーザーを認証し、作成した IAM ポリシーに基づいて機能へのアクセスを許可または拒否します。
Cloud Identity アカウントまたは Google Workspace アカウント作成の詳細については、ユーザーの ID をご覧ください。
Google SecOps へのログインを有効にするためのロールを付与する
次の手順では、ユーザーが Google SecOps にログインできるように IAM を使用して特定のロールを付与する方法について説明します。先ほど作成した Google SecOps にバインドされた Google Cloud プロジェクトを使用して構成を行います。
この例では、gcloud
コマンドを使用します。Google Cloud コンソールを使用するには、単一のロールを付与するをご覧ください
Google Security Operations アプリケーションへのアクセス権を付与するユーザーまたはグループに Chronicle API 閲覧者(
roles/chronicle.viewer
)ロールを付与します。次の例では、Chronicle API 閲覧者のロールを特定のグループに付与します。
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"
次のように置き換えます。
PROJECT_ID
: Google Security Operations 用に Google Cloud プロジェクトを構成するで構成した Google Security Operations にバインドされたプロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。GROUP_EMAIL
: グループのメール エイリアス(analyst-t1@example.com
など)。
Chronicle API 閲覧者のロールを特定のユーザーに付与するには、次のコマンドを実行します。
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"
USER_EMAIL
は、ユーザーのメールアドレス(alice@example.com
など)に置き換えます。グループやドメインなどの他のメンバーにロールを付与する方法の例については、gcloud projects add-iam-policy-binding とプリンシパル識別子のリファレンス ドキュメントをご覧ください。
組織の要件に合わせて IAM ポリシーを追加で構成します。
次のステップ
このドキュメントの手順を完了したら、次の操作を行います。
Google Security Operations インスタンスを Google Cloud サービスにリンクする手順を行います。
監査ロギングをまだ設定していない場合は、Google Security Operations の監査ロギングを有効にするに進みます。
Google Security Operations を構成する場合は、Google Security Operations でユーザーのプロビジョニング、認証、マッピングを行うの追加手順を行います。
機能へのアクセスを構成するには、IAM を使用した機能のアクセス制御を構成すると IAM での Google Security Operations の権限の追加手順を行います。