Configurar el Administrador de riesgos

En este tema, se describe cómo configurar tu organización de Google Cloud para usar el administrador de riesgos por primera vez. Estos pasos son requisitos previos para la mayoría de las tareas del administrador de riesgos.

Inicio de la configuración del administrador de riesgos

Para generar informes, el administrador de riesgos requiere que se complete una configuración por única vez. Este proceso requiere permisos de administración de identidades y accesos (IAM) más allá del alcance del administrador de riesgos, que solo puede tener un administrador de la organización.

Para comenzar la configuración, sigue estos pasos:

Console

Ve a la página de configuración del administrador de riesgos.

Ir a la configuración del administrador de riesgos
Si no se seleccionó ninguna organización, sigue estos pasos:
1. Haz clic en Seleccionar una organización.
2. Seleccione su organización en el menú desplegable.
Haz clic en Comenzar la configuración. Si este botón está inactivo, obtén los permisos de configuración necesarios y vuelve a intentarlo.

Permisos de configuración necesarios

Si el botón Iniciar configuración no está activo, te faltan los permisos necesarios para comenzar la configuración. Para continuar, debes solicitar estos permisos a tu administrador de Google Cloud o hacer que realice estos pasos por ti. Necesitas estos permisos para completar el resto de los pasos de esta guía.

Solo las funciones administrativas incluyen el permiso resourcemanager.organizations.setIamPolicy, por lo que es posible que tu administrador de Google Cloud prefiera realizar esta configuración. Las siguientes funciones contienen los permisos necesarios:

Risk Manager Admin
Organization Administrator

Puedes ver los permisos necesarios si colocas el cursor sobre el botón Comenzar la configuración, pero también se enumeran aquí:

Permiso necesario	Referencia
`riskmanager.serviceAccount.create`	Consulta Control de acceso de administrador de riesgos para las funciones de IAM que incluyen este permiso. Consulta Asigna funciones de IAM para aprender a asignar funciones de administrador de riesgos.
`resourcemanager.organizations.getIamPolicy`	Consulta Control de acceso para organizaciones a fin de conocer las funciones de IAM que incluyen este permiso.
`resourcemanager.organizations.setIamPolicy`	Consulta Control de acceso para organizaciones a fin de conocer las funciones de IAM que incluyen este permiso.

Otorga acceso a tu organización a la cuenta de servicio del administrador de riesgos

Cuando comienzas a configurar el administrador de riesgos en Google Cloud Console, se crea una cuenta de servicio. Una vez creada, esta cuenta de servicio no tiene permisos y no puede realizar ninguna acción.

La cuenta de servicio del administrador de riesgos debe tener la función de agente de servicio de administrador de riesgos (roles/riskmanager.serviceAgent) para leer los hallazgos de seguridad y compilar informes. En general, Google Cloud Console se refiere a esta función otorgada como “aprovisionamiento” mediante el administrador de riesgos. Para obtener más información sobre la función de agente de servicios, consulta Control de acceso de administrador de riesgos.

Para aprovisionar la cuenta de servicio del administrador de riesgos, sigue estos pasos:

Console

Ve a la página de configuración del administrador de riesgos.

Ir a los pasos de configuración del administrador de riesgos
Si no se seleccionó ninguna organización, sigue estos pasos:
1. Haz clic en Seleccionar una organización.
2. Seleccione su organización en el menú desplegable.
Ve al paso Aprovisiona la cuenta de servicio. Si ya se completó este paso, se omitirá de forma automática. Para verla, haz clic en Provision Service Account.
Haz clic en Otorgar funciones.
Verifica que el botón Otorgar funciones esté actualizado para que se muestren las Funciones otorgadas.

Inscríbete en el administrador de riesgos

La inscripción en el administrador de riesgos permite que los servicios de backend necesarios para el administrador de riesgos funcionen.

Para que la inscripción sea exitosa, la organización debe tener habilitado Security Command Center, con el servicio Security Health Analytics habilitado en Security Command Center. El proceso de habilitación de Security Command Center y Estadísticas de estado de seguridad se detalla en la página de integración del administrador de riesgos.

Para inscribirte en el administrador de riesgos, sigue estos pasos:

Console

Ve a la página de configuración del administrador de riesgos:

Ir a los pasos de configuración del administrador de riesgos
Si no se selecciona ninguna organización:
1. Haz clic en Seleccionar una organización.
2. Seleccione su organización en el menú desplegable.
Ve al paso Inscribirse en el administrador de riesgos. Si no puedes realizar este paso, primero debes completar los pasos de los requisitos.

Si ya se completó este paso, se omitirá de forma automática. Para verla, haz clic en Inscribirse en el administrador de riesgos.
Haz clic en Inscribirse.
Verifique que el botón Inscribirse esté actualizado para que se muestre Inscrito.

Asigna funciones de IAM

Antes de que un usuario pueda crear, revisar, compartir o enviar un informe, debe tener los permisos de IAM adecuados. Puedes otorgar una o más funciones predefinidas o crear y otorgar funciones personalizadas. Por ejemplo, un miembro con la función de revisor de informes del administrador de riesgos (roles/riskmanager.reportReviewer) puede acceder (pero no modificar) los informes y aprobar los informes que se enviarán; sin embargo, no puede crear informes

Si deseas obtener más información, incluida una lista de las funciones predefinidas para el administrador de riesgos, consulta Administra el acceso al administrador de riesgos.

Para agregar una función, sigue estos pasos:

Console

Dirígete a la página IAM en Cloud Console.

Ir a IAM
Haz clic en la lista desplegable del selector de proyectos en la parte superior de la página.
En el cuadro de diálogo Seleccionar de que aparece, selecciona la organización para la que deseas habilitar el administrador de riesgos.
En la página IAM, junto a tu nombre de usuario, haz clic en Editar miembro.
En el panel Editar permisos que aparece, agrega las funciones necesarias.
1. Haz clic en Agregar otra función. Selecciona una función que desees agregar, como Revisor de informes del administrador de riesgos.
2. Para agregar más funciones, repite el paso anterior. Haz clic en Guardar.

gcloud

Instala e inicializa el SDK de Cloud.

Nota: La herramienta de línea de comandos de gcloud está disponible de forma automática en Cloud Shell. Si usas Cloud Shell, no es necesario que instales la herramienta de gcloud de forma manual para poder usarla.
Ejecuta el siguiente comando:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member=user:USERNAME --role=roles/ROLE
```
Reemplaza lo siguiente:
- ORGANIZATION_ID: El ID numérico de tu organización.
- USERNAME: El miembro al que deseas otorgar esta función Debe ser un miembro de su organización. por ejemplo, test-user@example.com.
- ROLE: Es el nombre de la función de administrador de riesgos que deseas otorgar. por ejemplo, riskmanager.admin.

Próximos pasos

Obtenga información sobre cómo crear un informe.
Obtén información sobre cómo solucionar los problemas.
Obtenga información sobre cómo generar informes automáticamente.