IAM を使用して機能アクセス制御を構成する

機能 RBAC は、システム内の特定の機能へのユーザー アクセスを制御し、ユーザーのロールに応じてユーザーがアクセスできる機能を決定します。このページでは、Google Security Operations で機能アクセス制御を構成する方法について説明します。

このドキュメントでは、Identity and Access Management（IAM）ではなく、Google SecOps を使用して構成された、以前に利用可能なアクセス制御システムを指す場合、以前の RBAC という用語を使用します。機能 RBAC は、IAM を使用して構成する機能ベースのアクセス制御を表します。

Google SecOps は、 Google Cloud の IAM と統合して、Google SecOps 固有の権限と事前定義ロールを提供します。Google SecOps 管理者は、ユーザーまたはグループを事前定義ロールにバインドする IAM ポリシーを作成することで機能へのアクセスを制御できます。またはカスタム IAM ロールを作成できます。この機能は、特定の UDM レコードや UDM レコード内のフィールドへのアクセスを制御するものではありません。

このドキュメントでは、次のことを行います。

• Google SecOps が IAM と統合される仕組みについて説明します。
• 機能 RBAC ロールと以前の RBAC ロールの違いについて説明します。
• Google SecOps インスタンスを機能 RBAC に移行する手順について説明します。
• IAM を使用して権限を割り当てる方法の例を示します。
• IAM で使用可能な権限と事前定義ロールの概要を示します。

よく使用される Google SecOps 権限と、それによって生成される監査ログの一覧については、リソース グループ別の権限と API メソッドをご覧ください。Google SecOps のすべての権限の一覧については、Identity and Access Management の権限リファレンスをご覧ください。

各 Google SecOps 権限は、Google SecOps API リソースとメソッドに関連付けられています。ユーザーまたはグループに権限が付与されると、そのユーザーは Google SecOps の機能にアクセスし、関連する API メソッドを使用してリクエストを送信できます。

Google SecOps と IAM の統合方法

IAM を使用するには、Google SecOps を Google Cloudプロジェクトにバインドし、Cloud Identity、Google Workspace、または Google Cloud のワークフォース ID 連携を、サードパーティ ID プロバイダへの認証フローの仲介として構成する必要があります。サードパーティ認証フローについては、Google SecOps をサードパーティ ID プロバイダと統合するをご覧ください。

Google SecOps は、次の手順で機能へのアクセスを確認して制御します。

1. ユーザーが Google SecOps にログオンすると、Google SecOps アプリケーション ページにアクセスします。または、ユーザーが Google SecOps に API リクエストを送信することもできます。
2. Google SecOps は、そのユーザー用に定義された IAM ポリシーで付与されている権限を確認します。
3. IAM から認可情報が返されます。ユーザーがアプリケーション ページにアクセスした場合、Google SecOps は、ユーザーにアクセス権が付与されている機能のみへのアクセスを許可します。
4. ユーザーが API リクエストを送信したが、リクエストされたアクションを実行する権限がない場合、API レスポンスにエラーが含まれます。そうでない場合は、標準レスポンスが返されます。

Google SecOps には、ユーザーが機能にアクセスできるかどうかを制御する一連の権限が定義された一連の事前定義ロールが用意されています。単一の IAM ポリシーは、ウェブ インターフェースと API を使用して機能へのアクセスを制御します。

Google Cloud プロジェクトに、Google SecOps にバインドされている他の Google Cloud サービスがあり、プロジェクト IAM 管理者ロールを持つユーザーが Google SecOps のリソースのみを変更できるように制限する場合は、許可ポリシーに対する IAM 条件を追加します。これを行う方法の例については、ユーザーとグループにロールを割り当てるをご覧ください。

管理者は、組織内の従業員のロールに基づいて Google SecOps の機能へのアクセス権を調整します。

始める前に

• Cloud Shell、gcloud CLI コマンド、 Google Cloud コンソールに精通している必要があります。
• 次のコンセプトなど、IAM について精通します。
  • IAM の概要。
  • ロールと権限、事前定義ロールとカスタムロール、カスタムロールの作成の概要。
  • IAM の条件。
• Google SecOps を Google Cloud プロジェクトにバインドするのすべての手順を実施して、Google SecOps にバインドするプロジェクトを設定します。
• 次のいずれかを使用して、ID プロバイダを構成します。
  • Google Cloud ID プロバイダを構成する
  • Google SecOps をサードパーティ ID プロバイダと統合するのすべての手順を実施して、サードパーティ ID プロバイダ（IdP）を介した認証を設定します。
• プロジェクトを Google SecOps インスタンスにバインドし、ID プロバイダを構成します。
• このドキュメントの手順を実施するための権限を付与されていることを確認してください。オンボーディング プロセスの各フェーズに必要な権限については、必要なロールをご覧ください。

実装を計画する

組織のデプロイ要件をサポートする IAM ポリシーを作成します。Google SecOps の事前定義ロールまたは作成するカスタムロールを使用できます。

Google SecOps の事前定義ロールと権限のリストを組織の要件に対して確認します。各 Google SecOps 機能にアクセスできる組織のメンバーを特定します。事前定義された Google SecOps ロールとは異なる IAM ポリシーが組織で必要な場合は、これらの要件をサポートするカスタムロールを作成します。カスタムロールについては、カスタムロールを作成、管理するをご覧ください。

Google SecOps のロールと権限の概要

以降のセクションでは、事前定義ロールの概要について説明します。

Google SecOps 権限の最新のリストについては、IAM 権限リファレンスをご覧ください。[権限を検索] セクションで、chronicle というキーワードを検索します。

Google SecOps の事前定義ロールの最新のリストについては、IAM の基本ロールと事前定義ロールのリファレンスをご覧ください。[事前定義ロール] セクションで、Chronicle API ロール サービスを選択するか、chronicle というキーワードを検索します。

API メソッドと権限、権限が使用されるページ、API が呼び出されたときに Cloud Audit Logs に記録される情報については、IAM の Chronicle 権限をご覧ください。

IAM の Google SecOps の事前定義ロール

Google Security Operations には、IAM に表示される次の事前定義ロールが用意されています。

IAM での Google SecOps 権限

Google SecOps 権限は、Google SecOps API メソッドと 1 対 1 で対応しています。各 Google SecOps 権限により、ウェブ アプリケーションまたは API の使用時に、特定の Google SecOps 機能に対する特定のアクションが可能になります。IAM で使用される Google SecOps API は、アルファ版のリリース段階です。

Google SecOps 権限の名前は SERVICE.FEATURE.ACTION の形式になります。たとえば、権限名 chronicle.dashboards.edit は以下で構成されます。

• chronicle: Google SecOps API サービス名。
• dashboards: 特徴名。
• edit: 特徴に対して実行できるアクション。

権限名は、Google SecOps で機能に対して実行できるアクションを表します。すべての Google SecOps 権限には chronicle サービス名があります。

ユーザーやグループにロールを割り当てる

以降のセクションでは、IAM ポリシーを作成するユースケースの例を示します。<project> というキーワードは、Google SecOps にバインドしたプロジェクトのプロジェクト ID を表します。

Chronicle API を有効にすると、Google SecOps の事前定義ロールと権限が IAM で使用可能になり、組織の要件をサポートするポリシーを作成できます。

新しく作成した Google SecOps インスタンスがある場合は、組織の要件を満たす IAM ポリシーの作成を開始します。

これが既存の Google SecOps インスタンスの場合は、インスタンスを IAM に移行する方法については、機能アクセス制御のために Google SecOps を IAM に移行するをご覧ください。

例: 専用プロジェクトでプロジェクト IAM 管理者のロールを割り当てる

この例では、プロジェクトは Google SecOps インスタンス専用です。ユーザーに プロジェクト IAM 管理者のロールを付与すると、プロジェクトの IAM ロール バインディングを付与および変更できます。ユーザーは、プロジェクト内のすべての Google SecOps ロールと権限を管理し、プロジェクト IAM 管理者ロールによって付与されたタスクを実行できます。

Google Cloud コンソールを使用してロールを割り当てる

次の手順では、 Google Cloud コンソールを使用して、ユーザーにロールを付与する方法について説明します。

1. Google Cloud コンソールを開きます。
2. Google SecOps にバインドされているプロジェクトを選択します。
3. [IAM と管理] を選択します。
4. [アクセス権を付与] を選択します。 [<project> へのアクセス権を付与する] が表示されます。
5. [プリンシパルの追加] セクションの [新しいプリンシパル] フィールドに、管理対象アカウントのメールアドレスを入力します。
6. [ロールを割り当てる] セクションの [ロールの選択] メニューで、[プロジェクト IAM 管理者] ロールを選択します。
7. [保存] をクリックします。
8. [IAM] > [権限] ページを開き、ユーザーに正しいロールが付与されていることを確認します。

Google Cloud CLI を使用してロールを割り当てる

次のコマンドの例は、Workforce Identity 連携を使用している場合に、ユーザーに chronicle.admin ロールを付与する方法を示しています。

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin

次のように置き換えます。

• PROJECT_ID: Google SecOps インスタンスを Google Cloud プロジェクトにバインドするで作成した Google SecOps バインド プロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。
• WORKFORCE_POOL_ID: ID プロバイダ用に作成された Workforce プールの ID。
• USER_EMAIL: ユーザーのメールアドレス。

次のコマンドの例は、Cloud Identity または Google Workspace を使用している場合に、グループに chronicle.admin ロールを付与する方法を示しています。

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member "user:USER_EMAIL" \
  --role=roles/chronicle.admin

次のように置き換えます。

• PROJECT_ID: Google SecOps インスタンスを Google Cloud プロジェクトにバインドするで作成した Google SecOps バインド プロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。
• USER_EMAIL: ユーザーのメールアドレス。

例: 共有プロジェクトでプロジェクト IAM 管理者のロールを割り当てる

この例では、プロジェクトが複数のアプリケーションで使用されています。Google SecOps インスタンスにバインドされ、Google SecOps に関連しないサービスを実行します。たとえば、別の目的で使用される Compute Engine リソースなどです。

この場合、ユーザーに プロジェクト IAM 管理者ロールを付与して、プロジェクトの IAM ロール バインディングを付与および変更し、Google SecOps を構成できるようにします。また、ロール バインディングに IAM を追加して、プロジェクト内の Google SecOps 関連のロールへのアクセスのみを制限します。このユーザーは、IAM 条件で指定されたロールのみを付与できます。

IAM 条件の詳細については、IAM Conditions の概要と条件付きロール バインディングを管理するをご覧ください。

Google Cloud コンソールを使用してロールを割り当てる

次の手順では、 Google Cloud コンソールを使用して、ユーザーにロールを付与する方法について説明します。

1. Google Cloud コンソールを開きます。
2. Google SecOps にバインドされているプロジェクトを選択します。
3. [IAM と管理] を選択します。
4. [アクセス権を付与] を選択します。 [<project> へのアクセス権を付与する] が表示されます。
5. [<project> へのアクセス権を付与する] ダイアログの [プリンシパルを追加] セクションで、[新しいプリンシパル] にユーザーのメールアドレスを入力します。
6. [ロールを割り当てる] セクションの [ロールの選択] メニューで、[プロジェクト IAM 管理者] ロールを選択します。
7. [+ Add IAM Condition] をクリックします。
8. [条件を追加] ダイアログで、次の情報を入力します。
   1. [条件] のタイトルを入力します。
   2. [条件エディタ] を選択します。
   3. 次の条件を入力します。

  api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])

1. [条件を追加] ダイアログで [保存] をクリックします。
2. [<project> へのアクセス権を付与する] ダイアログで [保存] をクリックします。
3. [IAM] > [権限] ページを開き、ユーザーに正しいロールが付与されていることを確認します。

Google Cloud CLI を使用してロールを割り当てる

次のコマンドの例は、Workforce Identity 連携を使用している場合に、ユーザーに chronicle.admin ロールを付与し、IAM 条件を適用する方法を示しています。

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

次のように置き換えます。

• PROJECT_ID: Google SecOps インスタンスを Google Cloud プロジェクトにバインドするで作成した Google SecOps バインド プロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。
• WORKFORCE_POOL_ID: ID プロバイダ用に作成された Workforce プールの ID。
• USER_EMAIL: ユーザーのメールアドレス。

次のコマンドの例は、Cloud Identity または Google Workspace を使用している場合に、グループに chronicle.admin ロールを付与し、IAM 条件を適用する方法を示しています。

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.admin\
  --condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

次のように置き換えます。

• PROJECT_ID: Google SecOps インスタンスを Google Cloud プロジェクトにバインドするで作成した Google SecOps バインド プロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。
• USER_EMAIL: ユーザーのメールアドレス（例: bob@example.com）。

例: ユーザーに Chronicle API 編集者のロールを割り当てる

この場合、ユーザーに Google SecOps API リソースへのアクセス権を変更する権限を付与する必要があります。

Google Cloud コンソールを使用してロールを割り当てる

1. Google Cloud コンソールを開きます。
2. Google SecOps にバインドされているプロジェクトを選択します。
3. [IAM と管理] を選択します。
4. [アクセス権を付与] を選択します。 [<project> へのアクセス権を付与する] ダイアログが開きます。
5. [プリンシパルを追加] セクションの [新しいプリンシパル] フィールドに、ユーザーのメールアドレスを入力します。
6. [ロールを割り当てる] セクションの [ロールを選択] メニューで、[Google SecOps API 編集者] ロールを選択します。
7. [<project> へのアクセス権を付与する] ダイアログで [保存] をクリックします。
8. [IAM] > [権限] ページを開き、ユーザーに正しいロールが付与されていることを確認します。

Google Cloud CLI を使用してロールを割り当てる

次のコマンドの例は、Workforce Identity 連携を使用している場合に、ユーザーに chronicle.editor ロールを付与する方法を示しています。

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
  --role=roles/chronicle.editor

次のように置き換えます。

• PROJECT_ID: Google SecOps インスタンスを Google Cloud プロジェクトにバインドするで作成した Google SecOps バインド プロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。
• WORKFORCE_POOL_ID: ID プロバイダ用に作成された Workforce プールの ID。

• USER_EMAIL: ユーザーのメールアドレス。

  次のコマンドの例は、Cloud Identity または Google Workspace を使用している場合に、ユーザーに chronicle.editor ロールを付与する方法を示しています。

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.editor

次のように置き換えます。

• PROJECT_ID: Google SecOps インスタンスを Google Cloud プロジェクトにバインドするで作成した Google SecOps バインド プロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。
• WORKFORCE_POOL_ID: ID プロバイダ用に作成された Workforce プールの ID。
• USER_EMAIL: ユーザーのメールアドレス。

例: カスタムロールを作成してグループに割り当てる

Google SecOps の事前定義ロールに、組織のユースケースに適した権限のグループが指定されていない場合は、カスタムロールを作成して、そのカスタムロールに Google SecOps 権限を割り当てることができます。カスタムロールは、ユーザーまたはグループに割り当てます。カスタムロールの詳細については、カスタムロールを作成、管理するをご覧ください。

次の手順では、LimitedAdmin というカスタムロールを作成します。

1. LimitedAdmin というカスタムロールと、このロールに付与される権限を定義する YAML または JSON ファイルを作成します。YAML ファイルの例を次に示します。

   title: "LimitedAdmin"
   description: "Admin role with some permissions removed"
   stage: "ALPHA"
   includedPermissions:
   - chronicle.collectors.create
   - chronicle.collectors.delete
   - chronicle.collectors.get
   - chronicle.collectors.list
   - chronicle.collectors.update
   - chronicle.dashboards.copy
   - chronicle.dashboards.create
   - chronicle.dashboards.delete
   - chronicle.dashboards.get
   - chronicle.dashboards.list
   - chronicle.extensionValidationReports.get
   - chronicle.extensionValidationReports.list
   - chronicle.forwarders.create
   - chronicle.forwarders.delete
   - chronicle.forwarders.generate
   - chronicle.forwarders.get
   - chronicle.forwarders.list
   - chronicle.forwarders.update
   - chronicle.instances.get
   - chronicle.instances.report
   - chronicle.legacies.legacyGetCuratedRulesTrends
   - chronicle.legacies.legacyGetRuleCounts
   - chronicle.legacies.legacyGetRulesTrends
   - chronicle.legacies.legacyUpdateFinding
   - chronicle.logTypeSchemas.list
   - chronicle.multitenantDirectories.get
   - chronicle.operations.cancel
   - chronicle.operations.delete
   - chronicle.operations.get
   - chronicle.operations.list
   - chronicle.operations.wait
   - chronicle.parserExtensions.activate
   - chronicle.parserExtensions.create
   - chronicle.parserExtensions.delete
   - chronicle.parserExtensions.generateKeyValueMappings
   - chronicle.parserExtensions.get
   - chronicle.parserExtensions.legacySubmitParserExtension
   - chronicle.parserExtensions.list
   - chronicle.parserExtensions.removeSyslog
   - chronicle.parsers.activate
   - chronicle.parsers.activateReleaseCandidate
   - chronicle.parsers.copyPrebuiltParser
   - chronicle.parsers.create
   - chronicle.parsers.deactivate
   - chronicle.parsers.delete
   - chronicle.parsers.get
   - chronicle.parsers.list
   - chronicle.parsers.runParser
   - chronicle.parsingErrors.list
   - chronicle.validationErrors.list
   - chronicle.validationReports.get
   - resourcemanager.projects.get
   

2. カスタムロールを作成します。次の gcloud CLI コマンドの例は、前の手順で作成した YAML ファイルを使用してこのカスタムロールを作成する方法を示しています。

   gcloud iam roles create ROLE_NAME \
   --project=PROJECT_ID \
   --file=YAML_FILE_NAME
   

   次のように置き換えます。

   • PROJECT_ID: Google SecOps インスタンスを Google Cloud プロジェクトにバインドするで作成した Google SecOps バインド プロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。
   • YAML_FILE_NAME: 前の手順で作成したファイルの名前。
   • ROLE_NAME: YAML ファイルで定義されているカスタムロールの名前。

3. Google Cloud CLI を使用してカスタムロールを割り当てます。

   次のコマンドの例は、Workforce Identity 連携を使用している場合に、ユーザーのグループにカスタムロール limitedAdmin を付与する方法を示しています。

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \
     --role=projects/PROJECT_ID/roles/limitedAdmin
   

   次のように置き換えます。

   • PROJECT_ID: Google SecOps インスタンスを Google Cloud プロジェクトにバインドするで作成した Google SecOps バインド プロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。
   • WORKFORCE_POOL_ID: ID プロバイダ用に作成された Workforce プールの ID。
   • GROUP_ID: Workforce Identity 連携で作成されたグループ ID。Workforce Identity 連携で作成されたグループ ID の詳細については、IAM ポリシーで Workforce プールユーザーを表すをご覧ください。GROUP_ID の詳細については、IAM ポリシーで Workforce プールユーザーを表すをご覧ください。

   次のコマンドの例は、Cloud Identity または を使用している場合に、ユーザーのグループにカスタムロール limitedAdmin を付与する方法を示しています。

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=groupid:GROUP_ID \
     --role=projects/PROJECT_ID/roles/limitedAdmin
   

   次のように置き換えます。

   • PROJECT_ID: Google SecOps インスタンスを Google Cloud プロジェクトにバインドするで作成した Google SecOps バインド プロジェクトのプロジェクト ID。プロジェクトを識別するフィールドの説明については、プロジェクトの作成と管理をご覧ください。
   • WORKFORCE_POOL_ID: ID プロバイダ用に作成された Workforce プールの ID。
   • GROUP_ID: Workforce Identity 連携で作成されたグループ ID。Workforce Identity 連携で作成されたグループ ID の詳細については、IAM ポリシーで Workforce プールユーザーを表すをご覧ください。GROUP_ID の詳細については、IAM ポリシーで Workforce プールユーザーを表すをご覧ください。

監査ロギングを確認する

Google SecOps でのユーザー操作と Google SecOps API へのリクエストは、Cloud Audit Logs として記録されます。ログが書き込まれていることを確認するには、次の手順に従います。

1. 任意の機能にアクセスする権限を持つユーザーとして Google SecOps にログインします。詳細については、Google SecOps にログインするをご覧ください。
2. 検索の実行などのアクションを実行します。
3. Google Cloud コンソールで、ログ エクスプローラを使用して、Google SecOps にバインドされた Cloud プロジェクトの監査ログを表示します。Google SecOps 監査ログのサービス名は chronicle.googleapis.com です。

Cloud Audit Logs の表示方法については、Google SecOps の監査ログ情報をご覧ください。

以下は、ユーザー alice@example.com が Google SecOps でパーサー拡張機能のリストを表示したときに書き込まれたログの例です。

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "alice@example.com"
    },
    "requestMetadata": {
      "callerIp": "private",
      "callerSuppliedUserAgent": "abc_client",
      "requestAttributes": {
        "time": "2023-03-27T21:09:43.897772385Z",
        "reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
        "auth": {}
      },
      "destinationAttributes": {}
    },
    "serviceName": "chronicle.googleapis.com",
    "methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
    "authorizationInfo": [
      {
        "resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
        "permission": "chronicle.parserExtensions.list",
        "granted": true,
        "resourceAttributes": {}
      }
    ],
    "resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
    "numResponseItems": "12",
    "request": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
      "parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
    },
    "response": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
    }
  },
  "insertId": "1h0b0e0a0",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "dev-sys-server001",
      "method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
      "service": "chronicle.googleapis.com"
    }
  },
  "timestamp": "2023-03-27T21:09:43.744940164Z",
  "severity": "INFO",
  "logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}

機能アクセス制御用に Google SecOps を機能 RBAC に移行する

これらのセクションの情報を使用して、既存の Google Security Operations SIEM インスタンスを以前の RBAC システムから機能 RBAC に移行します。

機能 RBAC に移行した後、Cloud Audit Logs を使用して Google SecOps インスタンスのアクティビティを監査することもできます。

以前の RBAC と機能 RBAC の違い

機能 RBAC の事前定義ロール名は以前の RBAC ロールに似ていますが、機能 RBAC の事前定義ロールは以前の RBAC ロールと同じ機能アクセスを提供しません。事前定義された各機能 RBAC ロールに割り当てられる権限は若干異なります。詳細については、機能 RBAC IAM ロールが以前の RBAC ロールにマッピングされる仕組みをご覧ください。

Google SecOps の事前定義ロールをそのまま使用することも、各事前定義ロールで定義されている権限を変更することも、カスタムロールを作成して別の権限セットを割り当てることもできます。

Google SecOps インスタンスを移行した後、 Google Cloud コンソールで IAM を使用して、ロール、権限、機能 RBAC ポリシーを管理します。次の Google SecOps アプリケーション ページが変更され、ユーザーが Google Cloud コンソールに誘導されるようになりました。

• ユーザーとグループ
• ロール

以前の RBAC では、各権限は機能名とアクションで記述されます。機能 RBAC の IAM 権限は、リソース名とメソッドで記述されます。次の表に、ダッシュボードに関する例 1 つとフィードに関する例 1 つの合計 2 つの例を示します。

• ダッシュボードの例: ダッシュボードへのアクセスを制御するために、以前の RBAC には、ダッシュボードで実行できる 5 つのアクションが用意されています。機能 RBAC には、使用可能なダッシュボードをユーザーが一覧表示できる dashboards.list という追加の類似の IAM 権限が 1 つ用意されています。

• フィード例: フィードへのアクセスを制御するために、以前の RBAC には、有効または無効にできる 7 つのアクションが用意されています。機能 RBAC では、feeds.delete、feeds.create、feeds.update、feeds.view の 4 つがあります。

既存のアクセス制御権限を移行する手順

既存の Google SecOps インスタンスを移行する手順が完了したら、機能アクセス制御構成を移行することもできます。

Google SecOps には、Google SecOps の [SIEM 設定] > [ユーザーとグループ] ページで構成されている以前の RBAC と同等の新しい機能 RBAC IAM ポリシーを作成する自動生成コマンドがあります。

Google Cloud プロジェクトを Google SecOps 用に構成するで説明されている必要な権限があることを確認し、既存の権限とロールを IAM に移行するの手順に沿って操作します。

機能 RBAC IAM ロールが以前の RBAC ロールにマッピングされる仕組み

このセクションのマッピング情報は、移行前と移行後の事前定義ロールのアクセスの違いの一部を示しています。以前の RBAC ロール名は機能 RBAC IAM の事前定義ロールと似ていますが、それぞれがアクセス権を付与するアクションは異なります。このセクションでは、これらの違いの一部について説明します。

Chronicle API 制限付き閲覧者

このロールには、Google SecOps アプリケーションと API リソースに対する読み取り専用アクセス権が付与されます（検出エンジンのルールと RetroHunt を除く）。ロール名は chronicle.limitedViewer です。

権限の詳細なリストについては、Chronicle API ビューアをご覧ください。

Chronicle API 閲覧者

このロールは、Google SecOps アプリケーションと API リソースに対する読み取り専用アクセス権を付与します。ロール名は chronicle.viewer です。

次の権限は、類似の以前の RBAC ロールと機能 RBAC ロールの違いを示しています。権限の詳細なリストについては、Chronicle API ビューアをご覧ください。

Chronicle API 編集者

このロールにより、ユーザーは Google SecOps アプリケーションと API リソースへのアクセスを変更できます。ロール名は chronicle.editor です。

次の権限は、類似した以前の RBAC ロールと機能 RBAC ロールの違いの一部を示しています。権限の詳細なリストについては、Chronicle API エディタをご覧ください。

Chronicle API 管理者

このロールには、グローバル設定を含む Google SecOps アプリケーションと API サービスに対する完全なアクセス権が付与されます。ロール名は chronicle.admin です。

次の権限は、類似した以前の RBAC ロールと機能 RBAC ロールの違いの一部を示しています。権限の詳細なリストについては、Chronicle API 管理をご覧ください。