Google Cloud ID プロバイダを構成する

以下でサポートされています。

Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダ(Okta や Azure AD など)を使用してユーザー、グループ、認証を管理できます。

このページでは、Cloud Identity または Google Workspace の使用方法について説明します。サードパーティの ID プロバイダの構成については、Google Security Operations 用にサードパーティ ID プロバイダを構成するをご覧ください。

Cloud Identity または Google Workspace を使用する場合は、管理対象ユーザー アカウントを作成して、 Google Cloud リソースと Google SecOps へのアクセスを制御します。

Google SecOps 機能へのアクセス権を付与するユーザーとグループを定義する IAM ポリシーを作成します。これらの IAM ポリシーは、Google SecOps または作成したカスタムロールによって指定される事前定義のロールと権限を使用して定義します。

Google SecOps を Google Cloud サービスにリンクする手順を実施する際に、 Google Cloud ID への接続を構成します。構成が完了すると、Google SecOps が Cloud Identity または Google Workspace と直接統合されてユーザー認証が行われ、作成した IAM ポリシーに基づいて機能へのアクセスが許可または拒否されます。

Cloud Identity アカウントまたは Google Workspace アカウント作成の詳細については、ユーザーの ID をご覧ください。

Google SecOps へのログインを有効にするためのロールを付与する

次の手順では、ユーザーが Google SecOps にログインできるように IAM を使用して特定のロールを付与する方法について説明します。先ほど作成した Google SecOps にバインドされた Google Cloud プロジェクトを使用して構成を行います。

この例では、gcloud コマンドを使用します。Google Cloud コンソールを使用するには、単一のロールを付与するをご覧ください

  1. Google Security Operations アプリケーションへのアクセス権を付与するユーザーまたはグループに Chronicle API 閲覧者(roles/chronicle.viewerロールを付与します。

    次の例では、特定のグループに Chronicle API 閲覧者のロールを付与します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "group:GROUP_EMAIL"

    以下を置き換えます。

    特定のユーザーに Chronicle API 閲覧者ロールを付与するには、次のコマンドを実行します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --role roles/chronicle.viewer \
  --member "principal:USER_EMAIL"

    USER_EMAIL: ユーザーのメールアドレス(alice@example.com など)に置き換えます。

    グループやドメインなどの他のメンバーにロールを付与する方法の例については、gcloud projects add-iam-policy-bindingプリンシパル ID のリファレンス ドキュメントをご覧ください。

  2. 組織の要件を満たすように IAM ポリシーを追加で構成します。

次のステップ

このドキュメントの手順を完了したら、以下のことを行います。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。