配置 Google Cloud 身份提供方

您可以使用 Cloud Identity、Google Workspace 或第三方身份提供方（例如 Okta 或 Azure AD）来管理用户、群组和身份验证。

本页面介绍了如何使用 Cloud Identity 或 Google Workspace。 如需了解如何配置第三方身份提供方， 请参阅为 Google Security Operations 配置第三方身份提供方。

使用 Cloud Identity 或 Google Workspace 时，您需要创建受管理的用户账号 来控制对 Google Cloud 资源和 Google SecOps 的访问权限。

您可以创建 IAM 政策来定义哪些用户和群组具有访问权限 Google SecOps 功能。这些 IAM 政策是使用 Google SecOps 提供的预定义角色和权限或您创建的自定义角色定义的。

在将 Google SecOps 与 Google Cloud 服务相关联的步骤中， 您需要配置与 Google Cloud 身份的连接。配置完成后 Google SecOps 直接与 Cloud Identity 或 Google Workspace 集成 验证用户身份，并根据 IAM 允许或拒绝对功能的访问权限 创建的政策

如需详细了解如何创建 Cloud Identity 或 Google Workspace 账号，请参阅用户身份。

授予一个角色以启用 Google SecOps 登录功能

以下步骤介绍了如何使用 IAM 授予特定角色 以便用户登录 Google SecOps。使用您之前创建的已与 Google SecOps 绑定的 Google Cloud 项目进行配置。

本示例使用 gcloud 命令。如需使用 Google Cloud 控制台，请执行以下操作： 请参阅授予单个角色。

1. 向应有权访问 Google Security Operations 应用的用户或群组授予 Chronicle API Viewer (roles/chronicle.viewer) 角色。

   以下示例会向特定群组授予 Chronicle API Viewer 角色：

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "group:GROUP_EMAIL"
   

   替换以下内容：

   • PROJECT_ID：将 PROJECT_ID 替换为您在为 Google 安全运营配置 Google Cloud 项目中配置的与 Google 安全运营相关联的项目的项目 ID。请参阅创建和管理项目，了解用于标识项目的字段。
   • GROUP_EMAIL：群组的电子邮件别名，例如 analyst-t1@example.com。

   如需将 Chronicle API Viewer 角色授予特定用户，请运行以下命令：

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --role roles/chronicle.viewer \
     --member "principal:USER_EMAIL"
   

   替换 USER_EMAIL：用户的电子邮件地址，例如 alice@example.com。

   如需查看如何向其他成员（例如群组或网域）授予角色的示例，请参阅 gcloud projects add-iam-policy-binding 和主账号标识符参考文档。

2. 配置其他 IAM 政策，以满足贵组织的要求。

后续步骤

完成本文档中的步骤后，请执行以下操作：

• 执行将 Google Security Operations 实例关联到 Google Cloud 服务的步骤。

• 如果您尚未设置审核日志记录，请继续 启用 Google Security Operations 审核日志记录。

• 如果您要为 Google Security Operations 进行配置，请按照在 Google Security Operations 中预配、验证和映射用户中的说明执行其他步骤。

• 如需配置功能访问权限，请执行使用 IAM 配置功能访问权限控制和 IAM 中的 Google Security Operations 权限中的额外步骤