配置 Google Cloud 身份提供方

您可以使用 Cloud Identity、Google Workspace 或第三方身份提供方（例如 Okta 或 Azure AD）管理用户、群组和身份验证。

本页面介绍了如何使用 Cloud Identity 或 Google Workspace。

使用 Cloud Identity 或 Google Workspace 时，您需要创建受管理的用户账号，以控制对 Google Cloud 资源和 Google SecOps 的访问权限。

您可以创建 IAM 政策，以定义哪些用户和群组有权访问 Google SecOps 功能。这些 IAM 政策使用 Google SecOps 提供的预定义角色和权限或您创建的自定义角色来定义。

在将 Google SecOps 实例与 Google Cloud服务相关联的过程中，请配置与 Google Cloud IdP 的连接。Google SecOps 实例直接与 Cloud Identity 或 Google Workspace 集成，以根据您配置的 IAM 政策对用户进行身份验证并强制执行访问权限控制。

如需详细了解如何创建 Cloud Identity 或 Google Workspace 账号，请参阅用户身份。

授予角色以启用 Google SecOps 登录

以下步骤介绍了如何使用 IAM 授予特定角色，以便用户可以登录 Google SecOps。使用您之前创建的与 Google SecOps 绑定的 Google Cloud 项目执行配置。

1. 向应有权访问 Google Security Operations 应用的用户或群组授予 Chronicle API Viewer (roles/chronicle.viewer) 角色。

   • 以下示例会向特定群组授予 Chronicle API Viewer 角色：

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role roles/chronicle.viewer \
       --member "group:GROUP_EMAIL"
     

     替换以下内容：

     • PROJECT_ID：Google Security Operations 绑定项目的项目 ID，您可以在为 Google Security Operations 配置项目中配置该项目。 Google Cloud 如需了解用于标识项目的字段，请参阅创建和管理项目。
     • GROUP_EMAIL：群组的电子邮件别名，例如 analyst-t1@example.com。

   • 如需向特定用户授予 Chronicle API 查看者角色，请运行以下命令：

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role roles/chronicle.viewer \
       --member "principal:USER_EMAIL"
     

     替换 USER_EMAIL：用户的电子邮件地址，例如 alice@example.com。

   • 如需查看如何向其他成员（例如群组或网域）授予角色的示例，请参阅 gcloud projects add-iam-policy-binding 和主账号标识符参考文档。

2. 配置其他 IAM 政策，以满足贵组织的访问权限和安全要求。

后续步骤

完成本文档中的步骤后，请执行以下操作：

• 执行相应步骤，将 Google Security Operations 实例与 Google Cloud 服务相关联。

• 如果您尚未设置审核日志记录，请继续启用 Google Security Operations 审核日志记录。

• 如果您要为 Google Security Operations 进行配置，请按照在 Google Security Operations 中配置、验证和映射用户中的步骤操作。

• 如需配置对功能的访问权限，请按照使用 IAM 配置功能访问权限控制和 IAM 中的 Google Security Operations 权限中的步骤操作。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。