此页面由 Cloud Translation API 翻译。

初始配置或迁移 Google Security Operations 实例

Google Security Operations 可关联至客户提供的 Google Cloud 项目，以便与 Identity and Access Management、Cloud Monitoring 和 Cloud Audit Logs 等 Google Cloud 服务更紧密地集成。客户可以使用 IAM 和员工身份联合，通过其现有身份提供方进行身份验证。

以下文档将指导您完成初始配置新的 Google Security Operations 实例或迁移现有 Google Security Operations 实例的流程。

所需的角色

以下部分介绍了上一部分提到的新手入门流程每个阶段所需的权限。

为 Google Security Operations 配置 Google Cloud 项目

如需完成为 Google Security Operations 配置 Google Cloud 项目中的步骤，您需要以下 IAM 权限。

如果您在组织级层拥有项目创建者 (resourcemanager.projects.create) 权限，则无需其他权限即可创建项目并启用 Chronicle API。

如果您没有此权限，则需要项目级以下权限：

配置身份提供方

您可以使用 Cloud Identity、Google Workspace 或第三方身份提供方（例如 Okta 或 Azure AD）来管理用户、群组和身份验证。

拥有配置 Cloud Identity 或 Google Workspace 的权限

如果您使用的是 Cloud Identity，则必须具有管理对项目、文件夹和组织的访问权限中所述的角色和权限。

如果您使用的是 Google Workspace，则必须拥有 Cloud Identity 管理员帐号，并且能够登录管理控制台。

如需详细了解如何将 Cloud Identity 或 Google Workspace 用作身份提供方，请参阅配置 Google Cloud 身份提供方。

拥有配置第三方身份提供方的权限

如果您使用第三方身份提供方，则需要配置员工身份联合和员工身份池。

如需完成为 Google Security Operations 配置第三方身份提供方中的步骤，您需要以下 IAM 权限。

Project Editor 权限。
组织级别的 IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) 权限。

请使用以下命令示例来设置 roles/iam.workforcePoolAdmin 角色：
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/iam.workforcePoolAdmin
```
请替换以下内容：
- ORGANIZATION_ID：数字形式的组织 ID。
- USER_EMAIL：管理员用户的电子邮件地址。

如需了解详情，请参阅配置第三方身份提供方。

将 Google Security Operations 实例关联到 Google Cloud 服务

如需完成将 Google Security Operations 与 Google Cloud 服务相关联中的步骤，您需要为 Google Security Operations 配置 Google Cloud 项目部分中定义的相同权限。

如果您计划迁移现有 Google SecOps 实例，则需要有权访问 Google SecOps。如需查看预定义角色的列表，请参阅 IAM 中的 Google SecOps 预定义角色

使用 IAM 配置功能访问权限控制

如需完成使用 IAM 配置功能访问权限控制中的步骤，您需要项目级别的以下 IAM 权限才能授予和修改项目的 IAM 角色绑定：

Project IAM Admin (roles/resourcemanager.projectIamAdmin)

如需查看如何执行此操作的示例，请参阅为用户和群组分配角色。

如果您计划将现有 Google Security Operations 实例迁移到 IAM，您需要配置第三方身份提供方 Google Security Operations 部分中定义的相同权限。

配置数据访问权限控制

如需为用户配置数据 RBAC，您需要拥有 Chronicle API Admin (roles/chronicle.admin) 和 Role Viewer (roles/iam.roleViewer) 角色。如需将范围分配给用户，您需要拥有 Project IAM Admin (roles/resourcemanager.projectIamAdmin) 或 Security Admin (roles/iam.securityAdmin) 角色。

如果您没有所需的角色，请在 IAM 中分配角色。

Google Security Operations 高级功能要求

下表列出了 Google Security Operations 高级功能及其对客户提供的 Google Cloud 项目和 Google 员工身份联合的依赖关系。

能力	Google Cloud 基础	是否需要 Google Cloud 项目？	是否需要集成 IAM？
Cloud Audit Logs：管理活动	Cloud Audit Logs	是	是
Cloud Audit Logs：数据访问	Cloud Audit Logs	是	是
Cloud Billing：在线订阅或随用随付	Cloud Billing	是	否
Google Security Operations API：使用第三方 IdP 进行常规访问、创建和管理凭据	Google Cloud API	是	是
Google Security Operations API：使用 Cloud Identity 进行常规访问、创建和管理凭据	Google Cloud API、Cloud Identity	是	是
合规控制措施：CMEK	Cloud Key Management Service 或 Cloud External Key Manager	是	否
合规控制措施：FedRAMP 高风险级别或更高级别	Assured Workloads	是	是
合规控制措施：组织政策服务	组织政策服务	是	否
合规的控制措施：VPC Service Controls	VPC Service Controls	是	否
联系人管理：法律信息披露	重要联系人	是	否
运行状况监控：注入流水线中断	Cloud Monitoring	是	否
注入：webhook、Pub/Sub、Azure Event Hub、Amazon Kinesis Data Firehose	Identity and Access Management	是	否
基于角色的访问权限控制：数据	Identity and Access Management	是	是
基于角色的访问权限控制：功能或资源	Identity and Access Management	是	是
支持访问权限：提交支持请求、跟踪支持请求	Cloud Customer Care	是	否
统一的 SecOps 身份验证	Google 员工身份联合	否	是