初始配置或迁移 Google Security Operations 实例
Google Security Operations 可链接到客户提供的 Google Cloud 项目, 与 Identity and Access Management、 Cloud Monitoring 和 Cloud Audit Logs。客户可以使用 IAM 和员工身份联合,以使用其现有身份提供方进行身份验证。
以下文档将指导您完成将 Google Security Operations 实例,或迁移现有 Google Security Operations 实例。
- 为 Google Security Operations 配置 Google Cloud 项目
- 为 Google Security Operations 配置第三方身份提供方
- 将 Google Security Operations 与 Google Cloud 服务相关联
- 使用 IAM 配置功能访问权限控制
- 配置数据访问权限控制
- 完成 Google Cloud 设置核对清单
所需的角色
以下各部分介绍了您在创建 API 时 上一部分提到的新手入门流程。
为 Google Security Operations 配置 Google Cloud 项目
如需完成为 Google Security Operations 配置 Google Cloud 项目中的步骤,您需要以下 IAM 权限。
如果您有 Project Creator (resourcemanager.projects.create)
组织级权限,则没有其他权限
才能创建项目并启用 Chronicle API。
如果您没有此权限,则需要以下权限 在项目级执行下列操作:
- Chronicle Service Admin (
roles/chroniclesm.admin) - Editor (
roles/editor) - Project IAM Admin (
roles/resourcemanager.projectIamAdmin) - Service Usage Admin (
roles/serviceusage.serviceUsageAdmin)
配置身份提供方
您可以使用 Cloud Identity、Google Workspace 或第三方身份 提供商(例如 Okta 或 Azure AD)管理用户、群组和身份验证。
拥有配置 Cloud Identity 或 Google Workspace 的权限
如果您使用的是 Cloud Identity,则必须拥有 Cloud Identity 中所述的角色和权限。 管理对项目、文件夹和组织的访问权限。
如果您使用的是 Google Workspace,则必须有 Cloud Identity 管理员 账号,可以登录管理控制台。
请参阅配置 Google Cloud 身份提供方 详细了解如何将 Cloud Identity 或 Google Workspace 用作身份提供方。
拥有配置第三方身份提供方的权限
如果您使用第三方身份提供方,则需要进行如下配置: 员工身份联合和 员工身份池。
如需完成为 Google Security Operations 配置第三方身份提供方中的步骤,您需要以下 IAM 权限。
Project Editor 权限。
IAM 员工池管理员 (
roles/iam.workforcePoolAdmin) 组织级权限请使用以下命令示例来设置
roles/iam.workforcePoolAdmin角色:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdmin替换以下内容:
ORGANIZATION_ID:数字形式的组织 ID。USER_EMAIL:管理员用户的电子邮件地址。
如需了解详情,请参阅配置第三方身份提供方。
将 Google Security Operations 实例关联到 Google Cloud 服务
如需完成将 Google Security Operations 与 Google Cloud 服务相关联中的步骤, 您需要获得为 Google Security Operations 配置 Google Cloud 项目中定义的相同权限 部分。
如果您打算迁移现有 Google SecOps 实例, 您需要获得相应权限才能访问 Google SecOps。有关预定义角色的列表,请参阅 IAM 中的 Google SecOps 预定义角色
使用 IAM 配置功能访问权限控制
如需完成使用 IAM 配置功能访问权限控制中的步骤, 您需要拥有项目级的以下 IAM 权限 授予和修改项目的 IAM 角色绑定:
请参阅为用户和群组分配角色 ,了解有关具体操作方法的示例。
如果您计划将现有 Google Security Operations 实例迁移到 IAM, 您需要与 配置第三方身份提供方“Google Security Operations”部分。
配置数据访问权限控制
如需为用户配置数据 RBAC,请执行以下操作:
您需要 Chronicle API Admin (roles/chronicle.admin) 和角色
Viewer (roles/iam.roleViewer) 角色。如需将范围分配给用户,您需要满足以下条件:
Project IAM Admin (roles/resourcemanager.projectIamAdmin) 或
Security Admin (roles/iam.securityAdmin) 角色。
如果您没有所需的角色,请在 IAM 中分配角色。
Google Security Operations 高级功能要求
下表列出了 Google Security Operations 高级功能及其 依赖于客户提供的 Google Cloud 项目和 Google 员工的依赖项 身份联合。
| 能力 | Google Cloud 基础 | 是否需要 Google Cloud 项目? | 是否需要集成 IAM? |
|---|---|---|---|
| Cloud Audit Logs:管理活动 | Cloud Audit Logs | 是 | 是 |
| Cloud Audit Logs:数据访问 | Cloud Audit Logs | 是 | 是 |
| Cloud Billing:在线订阅或随用随付 | Cloud Billing | 是 | 否 |
| Google Security Operations API:使用第三方 IdP 进行常规访问、创建和管理凭据 | Google Cloud API | 是 | 是 |
| Google Security Operations API:使用 Cloud Identity 进行常规访问、创建和管理凭据 | Google Cloud API、Cloud Identity | 是 | 是 |
| 合规控制措施:CMEK | Cloud Key Management Service 或 Cloud External Key Manager | 是 | 否 |
| 合规控制措施:FedRAMP 高风险级别或更高级别 | Assured Workloads | 是 | 是 |
| 合规控制措施:组织政策服务 | 组织政策服务 | 是 | 否 |
| 合规的控制措施:VPC Service Controls | VPC Service Controls | 是 | 否 |
| 联系人管理:法律信息披露 | 重要联系人 | 是 | 否 |
| 运行状况监控:注入流水线中断 | Cloud Monitoring | 是 | 否 |
| 注入:webhook、Pub/Sub、Azure Event Hub、Amazon Kinesis Data Firehose | Identity and Access Management | 是 | 否 |
| 基于角色的访问权限控制:数据 | Identity and Access Management | 是 | 是 |
| 基于角色的访问权限控制:功能或资源 | Identity and Access Management | 是 | 是 |
| 支持访问权限:提交支持请求、跟踪支持请求 | Cloud Customer Care | 是 | 否 |
| 统一的 SecOps 身份验证 | Google 员工身份联合 | 否 | 是 |