Mengaktivasi atau memigrasikan instance Chronicle
Chronicle menautkan ke project Google Cloud yang disediakan pelanggan untuk berintegrasi lebih erat dengan layanan Google Cloud, seperti Identity and Access Management, Cloud Monitoring, dan Cloud Audit Logs. Pelanggan dapat menggunakan IAM dan penggabungan identitas tenaga kerja untuk melakukan autentikasi menggunakan penyedia identitas yang sudah ada.
Dokumen berikut akan memandu Anda menjalani proses untuk melakukan aktivasi instance Chronicle baru atau memigrasikan instance Chronicle yang sudah ada.
- Mengonfigurasi project Google Cloud untuk Chronicle
- Mengonfigurasi penyedia identitas pihak ketiga untuk Chronicle
- Menautkan Chronicle ke layanan Google Cloud
- Mengonfigurasi kontrol akses fitur menggunakan IAM
Peran yang diperlukan
Bagian berikut menjelaskan izin yang Anda perlukan untuk setiap fase proses orientasi, yang disebutkan di bagian sebelumnya.
Mengonfigurasi project Google Cloud untuk Chronicle
Untuk menyelesaikan langkah-langkah dalam Mengonfigurasi project Google Cloud untuk Chronicle, Anda memerlukan izin IAM berikut.
Jika Anda memiliki izin Project Creator (resourcemanager.projects.create
di tingkat organisasi, Anda tidak perlu izin tambahan
untuk membuat project dan mengaktifkan Chronicle API.
Jika tidak memiliki izin ini, Anda memerlukan izin berikut pada level project:
- Admin Layanan Chronicle (
roles/chroniclesm.admin) - Editor (
roles/editor) - Project IAM Admin (
roles/resourcemanager.projectIamAdmin) - Service Usage Admin (
roles/serviceusage.serviceUsageAdmin)
Mengonfigurasi penyedia identitas pihak ketiga Chronicle
Untuk menyelesaikan langkah-langkah di Mengonfigurasi penyedia identitas pihak ketiga untuk Chronicle, Anda memerlukan izin IAM berikut.
Izin Editor Project ke project terikat Chronicle yang Anda buat sebelumnya.
Izin IAM Workforce Pool Admin (
roles/iam.workforcePoolAdmin) di level project atau level organisasi.Gunakan perintah berikut sebagai contoh untuk menetapkan peran
roles/iam.workforcePoolAdmin:gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdminGanti kode berikut:
ORGANIZATION_ID: ID organisasi numerik.USER_EMAIL: alamat email pengguna admin.
Menautkan instance Chronicle ke layanan Google Cloud
Untuk menyelesaikan langkah-langkah dalam Menautkan Chronicle ke layanan Google Cloud, Anda memerlukan izin yang sama seperti yang ditentukan di bagian Mengonfigurasi project Google Cloud untuk Chronicle.
Mengonfigurasi kontrol akses fitur menggunakan IAM
Untuk menyelesaikan langkah-langkah dalam Mengonfigurasi kontrol akses fitur menggunakan IAM, Anda memerlukan izin IAM berikut pada level project untuk memberikan dan mengubah binding peran IAM project:
Lihat Menetapkan peran ke pengguna dan grup untuk mengetahui contoh cara melakukannya.
Jika berencana memigrasikan instance Chronicle yang ada ke IAM, Anda memerlukan izin yang sama seperti yang ditentukan di bagian Mengonfigurasi penyedia identitas pihak ketiga Chronicle.
Persyaratan kemampuan lanjutan Chronicle
Tabel berikut mencantumkan kemampuan lanjutan Chronicle dan dependensinya pada project Google Cloud yang disediakan pelanggan dan penggabungan identitas tenaga kerja Google.
| Kemampuan | Fondasi Google Cloud | Perlu project Google Cloud? | Memerlukan penggabungan identitas tenaga kerja? |
|---|---|---|---|
| Cloud Audit Logs: aktivitas administratif | Cloud Audit Logs | Ya | Ya |
| Cloud Audit Logs: akses data | Cloud Audit Logs | Ya | Ya |
| Penagihan Cloud: langganan online atau bayar sesuai penggunaan | Penagihan Cloud | Ya | Tidak |
| Chronicle API: akses umum, membuat, dan mengelola kredensial menggunakan IdP pihak ketiga | API Google Cloud | Ya | Ya |
| Chronicle API: akses umum, buat, dan kelola kredensial menggunakan Cloud Identity | Google Cloud API, Cloud Identity | Ya | Ya |
| Kontrol yang mematuhi: CMEK | Cloud Key Management Service atau Cloud External Key Manager | Ya | Tidak |
| Kontrol yang mematuhi: FedRAMP High atau yang lebih baru | Assured Workloads | Ya | Ya |
| Kontrol kepatuhan: Layanan Kebijakan Organisasi | Organization Policy Service | Ya | Tidak |
| Kontrol yang patuh: Kontrol Layanan VPC | Kontrol Layanan VPC | Ya | Tidak |
| Pengelolaan kontak: pengungkapan hukum | Kontak Penting | Ya | Tidak |
| Pemantauan kondisi: pemadaman pipeline penyerapan | Cloud Monitoring | Ya | Tidak |
| Penyerapan: webhook, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | Ya | Tidak |
| Kontrol akses berbasis peran: data | Identity and Access Management | Ya | Ya |
| Kontrol akses berbasis peran: fitur atau resource | Identity and Access Management | Ya | Ya |
| Akses dukungan: pengajuan kasus, pelacakan | Layanan Pelanggan Cloud | Ya | Tidak |
| Autentikasi SecOps terpadu | Federasi identitas tenaga kerja Google | Tidak | Ya |