Questo argomento descrive come configurare le autorizzazioni di Identity and Access Management per una serie di scenari di controllo di esempio. Fornisce indicazioni su quali IAM ruoli da assegnare ai ruoli funzionali relativi all'auditing nella propria azienda per ciascun diversi scenari. Gli esempi in questo argomento sono principalmente rivolti agli amministratori della sicurezza, ai revisori e ai dipendenti che gestiscono le attività di controllo per un'organizzazione.
Per scoprire di più sugli audit log per Google Cloud, consulta Cloud Audit Logs. Per informazioni sui log di controllo generati da IAM, consulta Audit logging per gli account di servizio IAM.
Scenario: monitoraggio operativo
In questo scenario, un'organizzazione dispone di un team di sicurezza centrale che ha la possibilità di esaminare i log che potrebbero contenere informazioni sensibili sia in Cloud Logging sia quando sono archiviati in un'area di archiviazione a lungo termine.
I dati di audit storici vengono archiviati in Cloud Storage. L'organizzazione utilizza un'applicazione per fornire l'accesso ai dati di controllo storici. L'applicazione utilizza un account di servizio per accedere ai dati di log. Data la sensibilità di alcuni dei dei dati degli audit log, questi vengono oscurati con Sensitive Data Protection prima di essere accessibile per la visualizzazione.
La tabella seguente illustra i ruoli IAM che devono essere concessi al CTO, al team di sicurezza e all'account di servizio, nonché la risorsa a cui vengono concessi i ruoli.
| Ruolo | Risorsa | Entità | Descrizione |
|---|---|---|---|
| resourcemanager.organizationAdmin | Organizzazione | CTO | Il ruolo resourcemanager.organizationAdmin consente al CTO di assegnare le autorizzazioni al team di sicurezza e all'account di servizio. |
| logging.viewer | Organizzazione | Team della sicurezza | Il ruolo logging.viewer offre al team di amministrazione della sicurezza la possibilità di visualizzare i log dell'attività di amministrazione. |
| logging.privateLogViewer | Organizzazione | Team della sicurezza | Il ruolo logging.privateLogViewer dà la possibilità di visualizzare i log di accesso ai dati. |
Una volta esportate le voci di log, l'accesso alle copie esportate è controllato interamente dalle autorizzazioni e dai ruoli IAM in una delle destinazioni: Cloud Storage, BigQuery o Pub/Sub. In questo scenario, Cloud Storage è la destinazione per l'archiviazione a lungo termine degli audit log.
| Ruolo | Risorsa | Entità | Descrizione |
|---|---|---|---|
| logging.viewer | Organizzazione | Service account | Il ruolo logging.viewer consente all'account di servizio di leggere i log Attività amministratore in Cloud Logging. |
I dati nei log di accesso ai dati sono considerati informazioni che consentono l'identificazione personale (PII) per questa organizzazione. L'integrazione dell'applicazione con Sensitive Data Protection consente di oscurare i dati PII sensibili quando si visualizzano i log di accesso ai dati, che si tratti di log di accesso ai dati o dell'archivio storico in Cloud Storage.
| Ruolo | Risorsa | Entità | Descrizione |
|---|---|---|---|
| storage.objectViewer | Bucket | Service account | Il ruolo storage.objectViewer consente all'account di servizio di leggere i log delle attività amministrative esportati. |
Il criterio di autorizzazione associato alla risorsa organizzazione per questo scenario sarà simile al seguente:
{
"bindings": [{
"role": "roles/resourcemanager.organizationAdmin",
"members": [
"user:cto@example.com"
]
},
{
"role": "roles/logging.viewer",
"members": [
"group:security-team@example.com",
"serviceAccount:prod-logviewer@admin-resources.iam.gserviceaccount.com"
]
},
{
"role": "roles/logging.privateLogViewer",
"members": [
"group:security-team@example.com"
]
}
]
}
Il criterio di autorizzazione associato al bucket configurato come destinazione per questo scenario sarà simile al seguente:
{
"bindings": [{
"role": "roles/storage.objectViewer",
"members": [
"serviceAccount:prod-logviewer@admin-resources.iam.gserviceaccount.com"
]
}]
}
Scenario: i team di sviluppo monitorano i propri log di controllo
In questo caso, gli sviluppatori dell'organizzazione devono esaminare gli audit log generati durante lo sviluppo delle applicazioni. Non sono autorizzati a esaminare i log di produzione, a meno che non siano stati oscurati utilizzando la protezione dei dati sensibili. R dashboard è disponibile per gli sviluppatori che forniscono ai dati di produzione esportati. Il team di sicurezza dell'organizzazione ha accesso a tutti i log sia in produzione che nell'ambiente di sviluppo.
La tabella seguente illustra i ruoli IAM che devono essere concessi al team di sicurezza, agli sviluppatori e all'account di servizio, nonché risorsa a cui vengono concessi i ruoli.
| Ruolo | Risorsa | Entità | Descrizione |
|---|---|---|---|
| logging.viewer | Organizzazione | Team della sicurezza | Il ruolo logging.viewer offre al team di amministrazione della sicurezza la possibilità di visualizzare i log dell'attività di amministrazione. |
| logging.privateLogViewer | Organizzazione | Team della sicurezza | Il ruolo logging.privateLogViewer dà la possibilità di visualizzare i log di accesso ai dati. |
| logging.viewer | Cartella | Team di sviluppatori | Il ruolo logging.viewer consente al team di sviluppatori di visualizzare i log Attività di amministrazione generati dai progetti di sviluppatori contenuti in una cartella in cui si trovano tutti i progetti di sviluppatori. |
| logging.privateLogViewer | Cartella | Team di sviluppatori | Il ruolo logging.privateLogViewer consente di visualizzare i log di accesso ai dati. |
L'accesso alle copie esportate è controllato interamente da autorizzazioni e ruoli IAM su qualsiasi di destinazione: Cloud Storage, BigQuery in Pub/Sub. In questo scenario, BigQuery è la destinazione per l'archiviazione degli audit log.
| Ruolo | Risorsa | Entità | Descrizione |
|---|---|---|---|
| bigquery.dataViewer | Set di dati BigQuery | Account di servizio Dashboard | Il ruolo bigquery.dataViewer consente all'account di servizio utilizzato dall'applicazione della dashboard di leggere i log delle attività di amministrazione esportati. |
Il criterio di autorizzazione associato alla risorsa della cartella del team di sviluppo per questo scenario sarà simile al seguente:
{
"bindings": [{
"role": "roles/logging.viewer",
"members": [
"group:developer-team@example.com"
]
},
{
"role": "roles/logging.privateLogViewer",
"members": [
"group:developer-team@example.com"
]
}]
}
Il criterio di autorizzazione associato alla risorsa dell'organizzazione per questo scenario avrà un aspetto simile al seguente:
{
"bindings": [{
"role": "roles/logging.viewer",
"members": [
"group:security-team@example.com"
]
},
{
"role": "roles/logging.privateLogViewer",
"members": [
"group:security-team@example.com"
]
}]
}
Il criterio di autorizzazione associato al set di dati BigQuery configurato come destinazione per questo scenario sarà simile al seguente:
{
"bindings": [{
"role": "roles/bigquery.dataViewer",
"members": [
"serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceaccount.com"
]
}]
}
Scenario: revisori esterni
In questo scenario, gli audit log per un'organizzazione vengono aggregati ed esportati in di un lavandino centrale. A un revisore di terze parti viene concesso l'accesso più volte all'anno per esaminare i log di controllo dell'organizzazione. L'auditor non è autorizzato a visualizzare i dati PII nei log Attività di amministrazione. Per soddisfare questo requisito, che fornisce accesso ai log storici archiviati BigQuery e, su richiesta, all'attività di amministrazione di Cloud Logging logaritmi.
L'organizzazione crea un gruppo Google per i revisori esterni e aggiunge i come revisore di conti al gruppo. Questo gruppo è monitorato e in genere viene concesso l'accesso all'applicazione della dashboard.
Durante il normale accesso, Al gruppo Google è concesso soltanto l'accesso alla visualizzazione i log storici archiviati in BigQuery. Se vengono rilevate anomalie, al gruppo viene concessa l'autorizzazione per visualizzare i log delle attività amministrative di Cloud Logging tramite la modalità di accesso elevata della dashboard. Alla fine di ogni periodo di controllo, l'accesso al gruppo viene revocato.
I dati vengono oscurati utilizzando la funzionalità Sensitive Data Protection prima di essere resi accessibili per la visualizzazione tramite l'applicazione della dashboard.
La tabella riportata di seguito illustra i ruoli di logging IAM che un Amministratore organizzazione può concedere all'account di servizio utilizzato dalla dashboard, nonché il livello di risorsa a cui viene concesso il ruolo.
| Ruolo | Risorsa | Entità | Descrizione |
|---|---|---|---|
| logging.viewer | Organizzazione | Account di servizio Dashboard | Il ruolo logging.viewer consente all'account di servizio di leggere i log Attività amministratore in Cloud Logging. |
| bigquery.dataViewer | Set di dati BigQuery | Account di servizio Dashboard | Il ruolo bigquery.dataViewer consente all'account di servizio utilizzato dall'applicazione della dashboard di leggere i log delle attività amministrative esportati. |
Il criterio di autorizzazione associato alla risorsa Organization per questo scenario sarà simile al seguente:
{
"bindings": [{
"role": "roles/logging.viewer",
"members": [
"serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceaccount.com"
]
}]
}
Il criterio di autorizzazione associato al set di dati BigQuery configurato come destinazione per questo scenario sarà simile al seguente:
{
"bindings": [{
"role": "roles/bigquery.dataViewer",
"members": [
"serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceaccount.com"
]
}]
}