Chronicle-Instanz einrichten oder migrieren
Chronicle verknüpft ein vom Kunden bereitgestelltes Google Cloud-Projekt, um eine bessere Einbindung in Google Cloud-Dienste wie Identity and Access Management, Cloud Monitoring und Cloud-Audit-Logs zu ermöglichen. Kunden können IAM und die Mitarbeiteridentitätsföderation zur Authentifizierung mit ihrem vorhandenen Identitätsanbieter verwenden.
In den folgenden Dokumenten wird beschrieben, wie Sie eine neue Chronicle-Instanz einrichten oder eine vorhandene Chronicle-Instanz migrieren.
- Google Cloud-Projekt für Chronicle konfigurieren
- Externen Identitätsanbieter für Chronicle konfigurieren
- Chronicle mit Google Cloud-Diensten verknüpfen
- Zugriffssteuerung für Features mit IAM konfigurieren
Erforderliche Rollen
In den folgenden Abschnitten werden die Berechtigungen beschrieben, die Sie für die einzelnen Phasen des im vorherigen Abschnitt erwähnten Onboardingprozesses benötigen.
Google Cloud-Projekt für Chronicle konfigurieren
Für die Schritte unter Google Cloud-Projekt für Chronicle konfigurieren benötigen Sie die folgenden IAM-Berechtigungen.
Wenn Sie die Berechtigung Projektersteller (resourcemanager.projects.create
) auf Organisationsebene haben, sind keine zusätzlichen Berechtigungen erforderlich, um ein Projekt zu erstellen und die Chronicle API zu aktivieren.
Wenn Sie diese Berechtigung nicht haben, benötigen Sie die folgenden Berechtigungen auf Projektebene:
- Chronicle-Dienstadministrator (
roles/chroniclesm.admin
) - Bearbeiter (
roles/editor
) - Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin
) - Service Usage-Administrator (
roles/serviceusage.serviceUsageAdmin
)
Chronicle eines externen Identitätsanbieters konfigurieren
Für die Schritte unter Externen Identitätsanbieter für Chronicle konfigurieren benötigen Sie die folgenden IAM-Berechtigungen.
Projektbearbeiter-Berechtigungen für das Chronicle-gebundene Projekt, das Sie zuvor erstellt haben.
Berechtigung IAM-Personalpool-Administrator (
roles/iam.workforcePoolAdmin
) auf Projekt- oder OrganisationsebeneVerwenden Sie den folgenden Befehl als Beispiel, um die Rolle
roles/iam.workforcePoolAdmin
festzulegen:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdmin
Ersetzen Sie Folgendes:
ORGANIZATION_ID
: die numerische Organisations-IDUSER_EMAIL
ist die E-Mail-Adresse des Administrators.
Chronicle-Instanz mit Google Cloud-Diensten verknüpfen
Für die Schritte unter Chronicle mit Google Cloud-Diensten verknüpfen benötigen Sie dieselben Berechtigungen, die im Abschnitt Google Cloud-Projekt für Chronicle konfigurieren definiert sind.
Zugriffssteuerung für Features mit IAM konfigurieren
Für die Schritte unter Featurezugriffssteuerung mit IAM konfigurieren benötigen Sie die folgende IAM-Berechtigung auf Projektebene, um die IAM-Rollenbindungen des Projekts zu gewähren und zu ändern:
Ein Beispiel dafür finden Sie unter Nutzern und Gruppen Rollen zuweisen.
Wenn Sie eine vorhandene Chronicle-Instanz zu IAM migrieren möchten, benötigen Sie dieselben Berechtigungen, die im Abschnitt Chronicle einen externen Identitätsanbieter konfigurieren definiert sind.
Anforderungen an erweiterte Funktionen für Chronicle
In der folgenden Tabelle sind die erweiterten Funktionen von Chronicle und ihre Abhängigkeiten von einem vom Kunden bereitgestellten Google Cloud-Projekt und der Identitätsföderation der Google-Mitarbeiter aufgeführt.
Voraussetzung | Google Cloud-Grundlagen | Google Cloud-Projekt erforderlich? | Mitarbeiteridentitätsföderation erforderlich? |
---|---|---|---|
Cloud-Audit-Logs: Verwaltungsaktivitäten | Cloud-Audit-Logs | Ja | Ja |
Cloud-Audit-Logs: Datenzugriff | Cloud-Audit-Logs | Ja | Ja |
Cloud Billing: Onlineabo oder „Pay as you go“-Modell | Cloud Billing | Ja | Nein |
Chronicle APIs: allgemeiner Zugriff, Erstellung und Verwaltung von Anmeldedaten mit einem externen Identitätsanbieter | Google Cloud APIs | Ja | Ja |
Chronicle APIs: allgemeiner Zugriff, Erstellung und Verwaltung von Anmeldedaten mit Cloud Identity | Google Cloud APIs, Cloud Identity | Ja | Ja |
Konforme Kontrollen: CMEK | Cloud Key Management Service oder Cloud External Key Manager | Ja | Nein |
Konforme Kontrollen: FedRAMP High oder höher | Assured Workloads | Ja | Ja |
Konforme Kontrollen: Organisationsrichtliniendienst | Organisationsrichtliniendienst | Ja | Nein |
Konforme Kontrollen: VPC Service Controls | VPC Service Controls | Ja | Nein |
Kontaktverwaltung: Rechtliche Offenlegungen | Wichtige Kontakte | Ja | Nein |
Zustandsüberwachung: Ausfälle der Aufnahmepipeline | Cloud Monitoring | Ja | Nein |
Aufnahme: Webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Ja | Nein |
Rollenbasierte Zugriffssteuerung: Daten | Identity and Access Management | Ja | Ja |
Rollenbasierte Zugriffssteuerung: Funktionen oder Ressourcen | Identity and Access Management | Ja | Ja |
Supportzugriff: Fallübermittlung, Nachverfolgung | Cloud Customer Care | Ja | Nein |
Einheitliche SecOps-Authentifizierung | Identitätsföderation der Google-Mitarbeiter | Nein | Ja |