使用 IAM 配置功能访问权限控制
Google Security Operations 与 Google Cloud Identity and Access Management (IAM) 相集成,可提供 Google Security Operations 专用的权限和预定义角色。Google Security Operations 管理员可以创建将用户或群组绑定到预定义角色或 IAM 自定义角色的 IAM 政策,从而控制对 Google Security Operations 功能的访问权限。此功能不控制对特定 UDM 记录或 UDM 记录中字段的访问权限。
本文档介绍了 Google 安全操作如何与 IAM 集成,描述了与 Google 安全操作 RBAC 功能的区别,提供了将 Google 安全操作实例迁移到 IAM 的步骤,提供了如何使用 IAM 分配权限的示例,并总结了 IAM 中提供的权限和预定义角色。
如需详细了解用于在 Google Security Operations 中配置授权的权限及其生成的审核日志,请参阅按资源组列出的权限和 API 方法。
某些 Google Security Operations 实例可能正在从原始功能 RBAC 实现进行迁移。在本文档中,Google 安全操作 RBAC 称作先前可用、基于功能、使用 Google 安全操作(而非 IAM)配置的访问权限控制。IAM 用于描述您使用 IAM 配置的基于功能、基于角色的访问权限控制。
每项 Google 安全操作权限都与一项 Google Security Operations API 资源和方法相关联。用户或群组获得权限后,就可以在 Google 安全操作中访问该功能,并使用相关 API 方法发送请求。
Google Security Operations 如何与 IAM 集成
如需使用 IAM,Google Security Operations 必须绑定到 Google Cloud 项目,并且必须配置 Google Cloud 员工身份联合作为身份验证流程中的中间代理。如需了解身份验证流程,请参阅将 Google Security Operations 与第三方身份提供方集成。
Google Security Operations 会执行以下步骤来验证和控制对功能的访问权限:
- 登录到 Google 安全运维系统后,用户访问 Google 安全运维应用页面。或者,用户也可以向 Google 安全运维套件发送 API 请求。
- Google 安全运维套件会验证为该用户定义的 IAM 政策授予的权限。
- IAM 会返回授权信息。如果用户访问了应用页面,Google 安全运维套件将仅允许用户访问已经有权访问的功能。
- 如果用户发送了 API 请求,但无权执行所请求的操作,API 响应将包含错误。否则,系统将返回标准响应。
Google Security Operations 提供了一组预定义角色,这些角色定义了一组权限,用于控制用户是否可以使用相应功能。单个 IAM 政策通过网页界面和 API 控制对该功能的访问权限。
Google 安全操作管理员在其身份提供方中创建群组,配置 SAML 应用以在断言中传递群组成员资格信息,然后将用户和群组与 Google 安全运维 IAM 中的预定义角色或其创建的自定义角色相关联。
如果 Google Cloud 项目中有其他 Google Cloud 服务绑定到 Google Security Operations,并且您希望限制具有 Project IAM Admin 角色的用户只能修改 Google Security Operations 资源,请务必在允许政策中添加 IAM 条件。请参阅为用户和群组分配角色,查看有关如何执行此操作的示例。
管理员可以根据员工在组织中的角色来定制对 Google 安全运营功能的访问权限。
准备工作
- 请确保您熟悉 Cloud Shell、gcloud CLI 命令和 Google Cloud 控制台。
- 熟悉 IAM,包括以下概念:
- 执行将 Google 安全操作绑定到 Google Cloud 项目中的所有步骤,以设置绑定到 Google 安全操作的项目。
- 执行将 Google Security Operations 与第三方身份提供方集成中的所有步骤,以通过第三方身份提供方 (IdP) 设置身份验证。
- 将项目绑定到 Google 安全操作实例并使用员工身份联合配置实例后,请确保您的 Google 安全操作实例按预期运行。请参阅验证或配置 Google 安全运维功能访问权限控制。
规划您的实现
您可以创建支持组织部署要求的 IAM 政策。您可以使用 Google Security Operations 预定义角色或自己创建的自定义角色。
根据您的组织要求查看 Google Security Operations 预定义角色和权限列表。确定贵组织的哪些成员应该有权访问每项 Google Security Operations 功能。如果您的组织需要的 IAM 政策与预定义的 Google Security Operations 角色不同,请创建自定义角色来满足这些要求。如需了解 IAM 自定义角色,请参阅创建和管理自定义角色。
Google Security Operations 角色和权限摘要
以下部分提供了简要的总结
如需了解 Google Security Operations API 方法和权限、使用权限的界面页面,以及调用该 API 时 Cloud Audit Logs 中记录的信息,请参阅 IAM 中的 Chhronicle 权限。
如需查看最新的 Google Security Operations 权限列表,请参阅 IAM 权限参考文档。在搜索权限部分下,搜索字词 chronicle。
预定义的 Google SecOps 角色的最新列表请参阅 IAM 基本和预定义角色参考文档。在预定义角色部分下,选择 Chronicle API 角色服务,或搜索字词 chronicle。
IAM 中的 Google Security Operations 预定义角色
Google Security Operations 提供在 IAM 中出现的以下预定义角色。
| IAM 中的预定义角色 | 标题 | 说明 |
|---|---|---|
roles/chronicle.admin |
Chronicle API Admin | 拥有对 Google 安全运维应用和 API 服务(包括全局设置)的完整访问权限。 |
roles/chronicle.editor |
Chronicle API Editor | 拥有对 Google 安全运维应用和 API 资源的访问权限。 |
roles/chronicle.viewer |
Chronicle API Viewer | 拥有对 Google 安全运维应用和 API 资源的只读权限 |
roles/chronicle.limitedViewer |
Chronicle API Limited Viewer | 授予对 Google Security Operations 应用和 API 资源(不包括检测引擎规则和追溯搜寻)的只读权限。 |
IAM 中的 Google 安全运维权限
Google 安全运维权限与 Google Security Operations API 方法一一对应。每个 Google 安全操作权限允许在使用 Web 应用或 API 时,对特定的 Google 安全操作功能执行特定操作。与 IAM 搭配使用的 Google Security Operations API 目前处于 Alpha 版发布阶段。
Google Security Operations 权限名称遵循 SERVICE.FEATURE.ACTION 格式。例如,权限名称 chronicle.dashboards.edit 包含以下内容:
chronicle:Google Security Operations API 服务名称。dashboards:地图项名称。edit:可对地图项执行的操作。
权限名称描述了您可以在 Google Security Operations 中对该功能执行的操作。所有 Google Security Operations 权限都具有 chronicle 服务名称。
为用户和群组分配角色
以下部分提供了创建 IAM 政策的示例用例。术语 <project> 用于表示您绑定到 Google Security Operations 的项目的 ID。
启用 Chronicle API 后,IAM 中提供了 Google Security Operations 预定义角色和权限,并且您可以创建政策来支持组织要求。
如果您有新创建的 Google Security Operations 实例,请开始创建 IAM 政策以满足组织要求。
如果这是一个现有的 Google Security Operations 实例,请参阅将 Google Security Operations 迁移到 IAM 以使用功能访问权限控制,了解如何将实例迁移到 IAM。
示例:在专用项目中分配 Project IAM Admin 角色
在此示例中,该项目专用于您的 Google Security Operations 实例。您可以将 Project IAM Admin 角色授予用户,以便他们可以授予和修改项目的 IAM 角色绑定。用户可以管理项目中的所有 Google Security Operations 角色和权限,并执行 Project IAM Admin 角色授予的任务。
使用 Google Cloud 控制台分配角色
以下步骤介绍了如何使用 Google Cloud 控制台向用户授予角色。
- 打开 Google Cloud 控制台。
- 选择要绑定到 Google Security Operations 的项目。
- 选择 IAM 和管理。
- 选择授予访问权限。系统会显示授予对
<project>的访问权限。 - 在“添加主账号”部分下的新的主账号字段中输入用户电子邮件地址。
- 在分配角色部分下的“选择角色”菜单中,选择 Project IAM Admin 角色。
- 点击保存。
- 打开 IAM > 权限页面以验证该用户被授予了正确的角色。
使用 Google Cloud CLI 分配角色
以下示例命令演示了如何向用户授予 chronicle.admin 角色。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin
请替换以下内容:
PROJECT_ID:您在将 Google 安全操作实例绑定到 Google Cloud 项目时创建的 Google 安全操作绑定项目的项目 ID。如需了解用于标识项目的字段,请参阅创建和管理项目。WORKFORCE_POOL_ID:为您的身份提供方创建的员工池的标识符。USER_EMAIL:用户的电子邮件地址。
示例:在共享项目中分配 Project IAM Admin 角色
在此示例中,项目用于多个应用。它绑定到一个 Google 安全操作实例,并运行与 Google 安全操作无关的服务。例如用于其他用途的 Compute Engine 资源。
在这种情况下,您可以向用户授予 Project IAM Admin 角色,以便他们可以授予和修改项目的 IAM 角色绑定,并配置 Google Security Operations。您还需要将 IAM 添加到角色绑定,以限制其访问权限仅限于项目中与 Google Security Operations 相关的角色。此用户只能授予 IAM 条件中指定的角色。
如需详细了解 IAM Conditions,请参阅 IAM Conditions 概览和管理条件角色绑定。
使用 Google Cloud 控制台分配角色
以下步骤介绍了如何使用 Google Cloud 控制台向用户授予角色。
- 打开 Google Cloud 控制台。
- 选择要绑定到 Google Security Operations 的项目。
- 选择 IAM 和管理。
- 选择授予访问权限。系统会显示授予对
<project>的访问权限。 - 在向
<project>授予访问权限对话框的“添加主账号”部分下,在新的主账号字段中输入用户的电子邮件地址。 - 在分配角色部分下的“选择角色”菜单中,选择 Project IAM Admin 角色。
- 点击 + 添加 IAM 条件。
在添加条件对话框中,输入以下信息:
- 输入条件的标题。
- 选择条件编辑器。
- 输入以下条件:
api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])- 在添加条件对话框中,点击保存。
- 点击授予对
<project>的访问权限对话框中的保存。 - 打开 IAM > 权限页面以验证该用户被授予了正确的角色。
使用 Google Cloud CLI 分配角色
以下示例命令演示了如何向用户授予 chronicle.admin 角色并应用 IAM 条件。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'
请替换以下内容:
PROJECT_ID:您在将 Google 安全操作实例绑定到 Google Cloud 项目时创建的 Google 安全操作绑定项目的项目 ID。如需了解用于标识项目的字段,请参阅创建和管理项目。WORKFORCE_POOL_ID:为您的身份提供方创建的员工池的标识符。USER_EMAIL:用户的电子邮件地址。
示例:向用户分配 Chronicle API Editor 角色
在这种情况下,您需要让用户能够修改对 Google Security Operations API 资源的访问权限。
使用 Google Cloud 控制台分配角色
- 打开 Google Cloud 控制台。
- 选择要绑定到 Google Security Operations 的项目。
- 选择 IAM 和管理。
- 选择授予访问权限。系统随即会打开授予对
<project>的访问权限对话框。 - 在“添加主账号”部分的新的主账号字段中,输入用户的电子邮件地址。
- 在分配角色部分下的“选择角色”菜单中,选择 Google Security Operations API Editor 角色。
- 点击授予对
<project>的访问权限对话框中的保存。 - 打开 IAM > 权限页面以验证该用户被授予了正确的角色。
使用 Google Cloud CLI 分配角色
以下示例命令演示了如何向用户授予 chronicle.editor 角色。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.editor
请替换以下内容:
PROJECT_ID:您在将 Google 安全操作实例绑定到 Google Cloud 项目时创建的 Google 安全操作绑定项目的项目 ID。如需了解用于标识项目的字段,请参阅创建和管理项目。WORKFORCE_POOL_ID:为您的身份提供方创建的员工池的标识符。USER_EMAIL:用户的电子邮件地址。
示例:创建自定义角色并将其分配给群组
如果 Google Security Operations 预定义角色无法提供符合您组织使用情形的权限组,您可以创建自定义角色,并将 Google Security Operations 权限分配给该自定义角色。您可以将自定义角色分配给用户或群组。如需详细了解 IAM 自定义角色,请参阅创建和管理自定义角色。
您可以按以下步骤创建名为 LimitedAdmin 的自定义角色。
创建一个 YAML 或 JSON 文件,用于定义自定义角色
LimitedAdmin以及授予该角色的权限。下面是一个 YAML 文件示例。title: "LimitedAdmin" description: "Admin role with some permissions removed" stage: "ALPHA" includedPermissions: - chronicle.collectors.create - chronicle.collectors.delete - chronicle.collectors.get - chronicle.collectors.list - chronicle.collectors.update - chronicle.dashboards.copy - chronicle.dashboards.create - chronicle.dashboards.delete - chronicle.dashboards.get - chronicle.dashboards.list - chronicle.extensionValidationReports.get - chronicle.extensionValidationReports.list - chronicle.forwarders.create - chronicle.forwarders.delete - chronicle.forwarders.generate - chronicle.forwarders.get - chronicle.forwarders.list - chronicle.forwarders.update - chronicle.instances.get - chronicle.instances.report - chronicle.legacies.legacyGetCuratedRulesTrends - chronicle.legacies.legacyGetRuleCounts - chronicle.legacies.legacyGetRulesTrends - chronicle.legacies.legacyUpdateFinding - chronicle.logTypeSchemas.list - chronicle.multitenantDirectories.get - chronicle.operations.cancel - chronicle.operations.delete - chronicle.operations.get - chronicle.operations.list - chronicle.operations.wait - chronicle.parserExtensions.activate - chronicle.parserExtensions.create - chronicle.parserExtensions.delete - chronicle.parserExtensions.generateKeyValueMappings - chronicle.parserExtensions.get - chronicle.parserExtensions.legacySubmitParserExtension - chronicle.parserExtensions.list - chronicle.parserExtensions.removeSyslog - chronicle.parsers.activate - chronicle.parsers.activateReleaseCandidate - chronicle.parsers.copyPrebuiltParser - chronicle.parsers.create - chronicle.parsers.deactivate - chronicle.parsers.delete - chronicle.parsers.get - chronicle.parsers.list - chronicle.parsers.runParser - chronicle.parsingErrors.list - chronicle.validationErrors.list - chronicle.validationReports.get - resourcemanager.projects.getIamPolicy创建自定义角色。以下 gcloud CLI 命令示例演示了如何使用您在上一步中创建的 YAML 文件创建此自定义角色。
gcloud iam roles create ROLE_NAME \ --project=PROJECT_ID \ --file=YAML_FILE_NAME请替换以下内容:
PROJECT_ID:您在将 Google 安全操作实例绑定到 Google Cloud 项目时创建的 Google 安全操作绑定项目的项目 ID。如需了解用于标识项目的字段,请参阅创建和管理项目。YAML_FILE_NAME:您在上一步中创建的文件的名称。ROLE_NAME:YAML 文件中定义的自定义角色的名称。
使用 Google Cloud CLI 分配自定义角色
以下示例命令演示了如何向一组用户授予
limitedAdmin自定义角色。gcloud projects add-iam-policy-binding PROJECT_ID \ --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \ --role=projects/PROJECT_ID/roles/limitedAdmin请替换以下内容:
PROJECT_ID:您在将 Google 安全操作实例绑定到 Google Cloud 项目时创建的 Google 安全操作绑定项目的项目 ID。如需了解用于标识项目的字段,请参阅创建和管理项目。WORKFORCE_POOL_ID:为身份提供方创建的员工池的标识符。GROUP_ID:在员工身份联合中创建的群组标识符。如需了解在员工身份联合中创建的群组标识符,请参阅在 IAM 政策中表示员工池用户。如需了解GROUP_ID,请参阅在 IAM 政策中表示员工池用户。GROUP_ID.
验证审核日志记录
Google Security Operations 中的用户操作和对 Google Security Operations API 的请求会记录为 Cloud Audit Logs。如需验证日志是否正在写入,请执行以下步骤:
- 以有权访问任何功能的用户的身份登录 Google Security Operations。请参阅登录 Google Security Operations,了解更多信息。
- 执行操作,例如执行搜索。
- 在 Google Cloud 控制台中,使用日志浏览器查看 Google 安全运营绑定的 Cloud 项目中的审核日志。Google 安全操作审核日志的服务名称为
chronicle.googleapis.com。
如需详细了解如何查看 Cloud Audit Logs,请参阅 Google Security Operations 审核日志记录信息。
以下是用户 alice@example.com 在 Google Security Operations 中查看解析器扩展程序列表时写入的日志示例。
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {
"principalEmail": "alice@example.com"
},
"requestMetadata": {
"callerIp": "private",
"callerSuppliedUserAgent": "abc_client",
"requestAttributes": {
"time": "2023-03-27T21:09:43.897772385Z",
"reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
"auth": {}
},
"destinationAttributes": {}
},
"serviceName": "chronicle.googleapis.com",
"methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"authorizationInfo": [
{
"resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"permission": "chronicle.parserExtensions.list",
"granted": true,
"resourceAttributes": {}
}
],
"resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"numResponseItems": "12",
"request": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
"parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
},
"response": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
}
},
"insertId": "1h0b0e0a0",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "dev-sys-server001",
"method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"service": "chronicle.googleapis.com"
}
},
"timestamp": "2023-03-27T21:09:43.744940164Z",
"severity": "INFO",
"logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
"receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}
将 Google Security Operations 迁移到 IAM 以实现功能访问权限控制
使用这些部分中的信息将现有 Google Security Operations SIEM 实例从之前的 Google Security Operations 基于角色的访问权限控制功能 (Google Security Operations RBAC) 迁移到 IAM。迁移到 IAM 后,您还可以使用 Cloud Audit Logs 审核 Google 安全操作实例上的活动。
Google 安全操作 RBAC 与 IAM 之间的区别
虽然 IAM 预定义角色名称与 Google 安全操作 RBAC 群组类似,但 IAM 预定义角色不具有与 Google 安全操作 RBAC 群组相同的功能访问权限。分配给每个预定义 IAM 角色的权限略有不同。 如需了解详情,请参阅 IAM 权限如何映射到每个 Google Security Operations RBAC 角色。
您可以按原样使用 Google Security Operations 预定义角色,更改每个预定义角色中定义的权限,或者创建自定义角色并分配一组不同的权限。
迁移 Google 安全操作实例后,您可以在 Google Cloud 控制台中使用 IAM 管理角色、权限和 IAM 政策。以下 Google Security Operations 应用页面已经过修改,可将用户引导至 Google Cloud 控制台:
- 用户和群组
- 角色
在 Google 安全操作 RBAC 中,每项权限都由功能名称和操作描述。IAM 权限由资源名称和方法描述。下表通过两个示例说明了这种差异,一个与信息中心相关,第二个与 Feed 相关。
信息中心示例:为了控制对信息中心的访问权限,Google 安全操作 RBAC 提供了您可以在信息中心执行的五项操作。IAM 通过另外一个
dashboards.list提供类似权限,可让用户列出可用的信息中心。Feed 示例:为了控制对 Feed 的访问权限,Google 安全操作 RBAC 提供了七项操作供您启用或停用。使用 IAM 时,有四种:
feeds.delete、feeds.create、feeds.update和feeds.view。
| 特征 | Google 安全操作 RBAC 中的权限 | IAM 权限 | 用户操作说明 |
|---|---|---|---|
| 信息中心 | 修改 | chronicle.dashboards.edit |
修改信息中心 |
| 信息中心 | 文案 | chronicle.dashboards.copy |
复制信息中心 |
| 信息中心 | 创建 | chronicle.dashboards.create |
创建信息中心 |
| 信息中心 | 时间表 | chronicle.dashboards.schedule |
安排定期生成报告 |
| 信息中心 | 删除 | chronicle.dashboards.delete |
删除报告 |
| 信息中心 | 无。此操作仅在 IAM 中提供。 | chronicle.dashboards.list |
列出可用的信息中心 |
| Feed | DeleteFeed | chronicle.feeds.delete |
删除 Feed。 |
| Feed | CreateFeed | chronicle.feeds.create |
创建 Feed。 |
| Feed | UpdateFeed | chronicle.feeds.update |
更新 Feed。 |
| Feed | EnableFeed | chronicle.feeds.update |
更新 Feed。 |
| Feed | DisableFeed | chronicle.feeds.update |
更新 Feed。 |
| Feed | ListFeeds | chronicle.feeds.view |
返回一个或多个 Feed。 |
| Feed | GetFeed | chronicle.feeds.view |
返回一个或多个 Feed。 |
迁移现有 Google Security Operations 实例的步骤
如需在现有的 Google Security Operations 实例上启用 IAM,请执行以下步骤:
- 请与您的 Google 安全运维代表联系,告知他们您想要将现有 RBAC 配置迁移到 IAM。向您的 Google 安全运营代表提供以下信息:
- 绑定到 Google Security Operations 实例的项目 ID。您在将 Google 安全运维套件绑定到 Google Cloud 项目时创建此目录时定义了此名称。
- 前端路径,属于 Google 安全运营网址的一部分。
- 员工池 ID。您在配置员工身份联合时定义了此设置。
- 您的 Google 安全运营代表将向您发送一个包含 gcloud CLI 命令的文件。您将运行以下命令,将现有访问权限控制政策迁移到等效的 IAM 政策。
- 以具有
iam.workforcePoolAdmin角色和Project Editor权限的用户身份打开 Google Cloud 控制台,并访问与 Google 安全操作绑定的项目。您在将 Google Security Operations 与第三方身份提供方集成时识别或创建了此用户。 - 启动一个 Cloud Shell 会话。
- 运行 Google 安全运营代表提供的命令,将现有配置迁移到 IAM。这将创建与您的 Google 安全操作 RBAC 访问权限控制配置等效的新 IAM 政策。
- 执行所有命令后,请在 IAM > 权限页面中确认 IAM 政策是否已正确迁移。
- 在熟悉您的 IAM 政策后,请与您的 Google 安全运营代表联系,并告知他们 IAM 政策已迁移。
- 您的 Google 安全运营代表将执行步骤来在您的 Google 安全运营实例上启用 IAM,并在完成后与您联系。
- 验证您能否以具有 Google Security Operations API Admin 角色的用户身份访问 Google Security Operations。
- 以拥有 Google Security Operations API Admin 预定义角色的用户身份登录 Google Security Operations。请参阅登录 Google Security Operations,了解更多信息。
- 打开“应用”菜单 > 设置 > 用户和群组页面。您应该会看到以下消息:*如需管理用户和群组,请转到 Google Cloud 控制台中的 Identity Access Management (IAM)。详细了解如何管理用户和群组*。
- 验证其他用户角色的权限。
- 以拥有其他角色的用户身份登录 Google Security Operations。如需了解详情,请参阅登录 Google Security Operations。
- 验证应用中的可用功能是否与 IAM 中定义的权限匹配。
IAM 权限与每个 Google Security Operations RBAC 角色的对应关系
以下部分汇总了 IAM 中的每个 Google Security Operations 预定义角色以及绑定到每个角色的权限。它还标识了与哪个 Google Security Operations RBAC 角色和操作类似的角色和操作。
Chronicle API Limited Viewer
此角色可授予对 Google Security Operations 应用和 API 资源的只读权限(但不包括检测引擎规则和回溯)。角色名称为 chronicle.limitedViewer。
IAM 的 Google Security Operations API Limited Viewer 预定义角色可提供以下权限。
| IAM 权限 | 映射到以下 Google 安全操作 RBAC 角色的等效权限 |
|---|---|
chronicle.instances.get |
此操作仅在 IAM 中提供。 |
chronicle.dashboards.get |
此操作仅在 IAM 中提供。 |
chronicle.dashboards.list |
此操作仅在 IAM 中提供。 |
chronicle.multitenantDirectories.get |
此操作仅在 IAM 中提供。 |
chronicle.logs.list |
此操作仅在 IAM 中提供。 |
Chronicle API Viewer
此角色提供对 Google Security Operations 应用和 API 资源的只读权限。角色名称为 chronicle.viewer。
IAM 的 Google Security Operations API Viewer 预定义角色可提供以下权限。
| Google Security Operations permission | Equivalent permission is mapped to this Google Security Operations RBAC role |
|---|---|
chronicle.ruleDeployments.get |
Viewer |
chronicle.ruleDeployments.list |
Viewer |
chronicle.rules.verifyRuleText |
Viewer |
chronicle.rules.get |
Viewer |
chronicle.rules.list |
Viewer |
chronicle.legacies.legacyGetRuleCounts |
Viewer |
chronicle.legacies.legacyGetRulesTrends |
Viewer |
chronicle.rules.listRevisions |
Viewer |
chronicle.legacies.legacyGetCuratedRulesTrends |
Viewer |
chronicle.ruleExecutionErrors.list |
Viewer |
chronicle.curatedRuleSets.get |
Viewer |
chronicle.curatedRuleSetDeployments.get |
Viewer |
chronicle.curatedRuleSets.list |
Viewer |
chronicle.curatedRuleSetDeployments.list |
Viewer |
chronicle.curatedRuleSetCategories.get |
Viewer |
chronicle.curatedRuleSetCategories.list |
Viewer |
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections |
Viewer |
chronicle.curatedRuleSets.countCuratedRuleSetDetections |
Viewer |
chronicle.curatedRules.get |
Viewer |
chronicle.curatedRules.list |
Viewer |
chronicle.referenceLists.list |
Viewer |
chronicle.referenceLists.get |
Viewer |
chronicle.referenceLists.verifyReferenceList |
Viewer |
chronicle.retrohunts.get |
Viewer |
chronicle.retrohunts.list |
Viewer |
chronicle.dashboards.schedule |
Editor |
chronicle.operations.get |
None. This is available in IAM only. |
chronicle.operations.list |
None. This is available in IAM only. |
chronicle.operations.wait |
None. This is available in IAM only. |
chronicle.instances.report |
None. This is available in IAM only. |
chronicle.collectors.get |
None. This is available in IAM only. |
chronicle.collectors.list |
None. This is available in IAM only. |
chronicle.forwarders.generate |
None. This is available in IAM only. |
chronicle.forwarders.get |
None. This is available in IAM only. |
chronicle.forwarders.list |
None. This is available in IAM only. |
Chronicle API Editor
具有此角色的用户可修改对 Google Security Operations 应用和 API 资源的访问权限。角色名称为 chronicle.editor。
IAM 的 Google Security Operations API Editor 预定义角色可提供以下权限。
| Google Security Operations permission | Equivalent permission is mapped to this Google Security Operations RBAC role |
|---|---|
chronicle.ruleDeployments.update |
Editor |
chronicle.rules.update |
Editor |
chronicle.rules.create |
Editor |
chronicle.referenceLists.create |
Editor |
chronicle.referenceLists.update |
Editor |
chronicle.rules.runRetrohunt |
Editor |
chronicle.retrohunts.create |
Editor |
chronicle.curatedRuleSetDeployments.batchUpdate |
Editor |
chronicle.curatedRuleSetDeployments.update |
Editor |
chronicle.dashboards.copy |
Editor |
chronicle.dashboards.edit |
Editor |
chronicle.dashboards.create |
Editor |
chronicle.legacies.legacyUpdateFinding |
Editor |
chronicle.dashboards.delete |
Editor |
chronicle.operations.delete |
None. This is available in IAM only. |
Chronicle API Admin
此角色提供对 Google Security Operations 应用和 API 服务(包括全局设置)的完整访问权限。角色名称为 chronicle.admin。
IAM 的 Google Security Operations API Admin 预定义角色可提供以下权限。
| Google Security Operations permission | Equivalent permission is mapped to this Google Security Operations RBAC role |
|---|---|
chronicle.parserExtensions.delete |
Admin |
chronicle.parsers.copyPrebuiltParser |
Admin |
chronicle.extensionValidationReports.get |
Admin |
chronicle.extensionValidationReports.list |
Admin |
chronicle.validationErrors.list |
Admin |
chronicle.parsers.runParser |
Admin |
chronicle.parserExtensions.get |
Admin |
chronicle.parserExtensions.list |
Admin |
chronicle.validationReports.get |
Admin |
chronicle.parserExtensions.create |
Admin |
chronicle.parserExtensions.removeSyslog |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parserExtensions.activate |
Admin |
chronicle.parsers.activateReleaseCandidate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parserExtensions.generateKeyValuechronicle.Mappings |
Admin |
chronicle.parserExtensions.legacySubmitParserExtension |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.list |
Admin |
chronicle.parsers.create |
Admin |
chronicle.parsers.delete |
Admin |
chronicle.feeds.delete |
Admin |
chronicle.feeds.create |
Admin |
chronicle.feeds.update |
Admin |
chronicle.feeds.enable |
Admin |
chronicle.feeds.disable |
Admin |
chronicle.feeds.list |
Admin |
chronicle.feeds.get |
Admin |
chronicle.feedSourceTypeSchemas.list |
Admin |
chronicle.logTypeSchemas.list |
Admin |
chronicle.operations.cancel |
Editor |
chronicle.collectors.create |
None. This is available in IAM only. |
chronicle.collectors.delete |
None. This is available in IAM only. |
chronicle.collectors.update |
None. This is available in IAM only. |
chronicle.forwarders.create |
None. This is available in IAM only. |
chronicle.forwarders.delete |
None. This is available in IAM only. |
chronicle.forwarders.update |
None. This is available in IAM only. |
chronicle.parsingErrors.list |
None. This is available in IAM only. |