此页面由 Cloud Translation API 翻译。

初始配置或迁移 Google Security Operations 实例

支持以下语言：

Google SecOps SIEM

Google Security Operations 可链接到客户提供的 Google Cloud 项目，与 Identity and Access Management、 Cloud Monitoring 和 Cloud Audit Logs。客户可以使用 IAM 和员工身份联合，以使用其现有身份提供方进行身份验证。

以下文档将引导您完成新建 Google Security Operations 实例或迁移现有 Google Security Operations 实例的流程。

所需的角色

以下部分介绍了上一部分中所述的新手入门流程的每个阶段所需的权限。

为 Google Security Operations 配置 Google Cloud 项目

若要完成为 Google 安全运营配置 Google Cloud 项目中的步骤，您需要拥有以下 IAM 权限。

如果您在组织级别拥有 Project Creator (resourcemanager.projects.create) 权限，则无需其他权限即可创建项目并启用 Chronicle API。

如果您没有此权限，则需要以下权限在项目级执行下列操作：

配置身份提供方

您可以使用 Cloud Identity、Google Workspace 或第三方身份提供商（例如 Okta 或 Azure AD）管理用户、群组和身份验证。

拥有配置 Cloud Identity 或 Google Workspace 的权限

如果您使用的是 Cloud Identity，则必须拥有管理对项目、文件夹和组织的访问权限中所述的角色和权限。

如果您使用的是 Google Workspace，则必须有 Cloud Identity 管理员账号，可以登录管理控制台。

如需详细了解如何将 Cloud Identity 或 Google Workspace 用作身份提供方，请参阅配置 Google Cloud 身份提供方。

配置第三方身份提供商的权限

如果您使用第三方身份提供方，则需要配置 Workforce Identity Federation 和员工身份池。

如需完成为 Google Security Operations 配置第三方身份提供方中的步骤，您需要以下 IAM 权限。

Project Editor 权限。
组织级层的 IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) 权限。

以以下命令为例，设置 roles/iam.workforcePoolAdmin 角色：
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/iam.workforcePoolAdmin
```
替换以下内容：
- ORGANIZATION_ID：组织的数字 ID。
- USER_EMAIL：管理员用户的电子邮件地址。
组织级的 Organization Viewer (resourcemanager.organizations.get) 权限。

如需了解详情，请参阅配置第三方身份提供方。

将 Google Security Operations 实例关联到 Google Cloud 服务

若要完成将 Google Security Operations 关联到 Google Cloud 服务中的步骤，您需要拥有为 Google Security Operations 配置 Google Cloud 项目部分中定义的相同权限。

如果您计划迁移现有 Google SecOps 实例，则需要拥有访问 Google SecOps 的权限。有关预定义角色的列表，请参阅 IAM 中的 Google SecOps 预定义角色

使用 IAM 配置功能访问权限控制

如需完成使用 IAM 配置功能访问控制中的步骤，您需要在项目级拥有以下 IAM 权限，才能授予和修改项目的 IAM 角色绑定：

Project IAM Admin (roles/resourcemanager.projectIamAdmin)

如需查看相关示例，请参阅向用户和群组分配角色。

如果您计划将现有 Google Security Operations 实例迁移到 IAM，则需要拥有配置第三方身份提供程序 Google Security Operations 部分中定义的相同权限。

配置数据访问控制

如需为用户配置数据 RBAC，请执行以下操作：您需要 Chronicle API Admin (roles/chronicle.admin) 和角色 Viewer (roles/iam.roleViewer) 角色。如需将范围分配给用户，您需要满足以下条件： Project IAM Admin (roles/resourcemanager.projectIamAdmin) 或 Security Admin (roles/iam.securityAdmin) 角色。

如果您没有所需的角色，请在 IAM 中分配角色。

Google Security Operations 高级功能要求

下表列出了 Google Security Operations 高级功能及其依赖于客户提供的 Google Cloud 项目和 Google 员工的依赖项身份联合。

能力	Google Cloud 基础	是否需要 Google Cloud 项目？	是否需要 IAM 集成？
Cloud Audit Logs：管理活动	Cloud Audit Logs	是	是
Cloud Audit Logs：数据访问	Cloud Audit Logs	是	是
Cloud Billing：在线订阅或随用随付	Cloud Billing	是	否
Chronicle API：使用第三方 IdP 进行一般访问、铸造和管理凭据	Google Cloud API	是	是
Chronicle API：使用 Cloud Identity 进行一般访问、创建和管理凭据	Google Cloud API、Cloud Identity	是	是
合规控制措施：CMEK	Cloud Key Management Service 或 Cloud External Key Manager	是	否
合规控制措施：FedRAMP High 或更高级别	Assured Workloads	是	是
合规控制措施：组织政策服务	组织政策服务	是	否
合规控制措施：VPC Service Controls	VPC Service Controls	是	否
联系人管理：法律信息披露	重要联系人	是	否
运行状况监控：注入流水线中断	Cloud Monitoring	是	否
注入：webhook、Pub/Sub、Azure Event Hub、Amazon Kinesis Data Firehose	Identity and Access Management	是	否
基于角色的访问权限控制：数据	Identity and Access Management	是	是
基于角色的访问权限控制：功能或资源	Identity and Access Management	是	是
支持访问权限：提交支持请求、跟踪支持请求	Cloud Customer Care	是	否
统一的 SecOps 身份验证	Google 员工身份联合	否	是