In questa pagina viene descritto come utilizzare Identity and Access Management (IAM) per controllare l'accesso alle risorse in un'attivazione a livello di organizzazione di Security Command Center. Questa pagina è pertinente se si applica una delle seguenti condizioni:
- Security Command Center è attivato a livello di organizzazione e non a livello di progetto.
- Security Command Center Standard è già attivato a livello di organizzazione. Inoltre, Security Command Center Premium è attivato su uno o più progetti.
Se hai attivato Security Command Center a livello di progetto e non a livello di organizzazione, consulta invece IAM per le attivazioni a livello di progetto.
In un'attivazione a livello di organizzazione di Security Command Center, puoi controllare l'accesso alle risorse a diversi livelli nella gerarchia delle risorse. Security Command Center utilizza i ruoli IAM per consentirti di controllare chi può fare cosa con asset, risultati e origini di sicurezza nel tuo ambiente Security Command Center. Puoi assegnare ruoli a persone e applicazioni e ogni ruolo fornisce autorizzazioni specifiche.
Autorizzazioni
Per impostare Security Command Center o modificare la configurazione della tua organizzazione, sono necessari entrambi i seguenti ruoli a livello di organizzazione:
- Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin
) - Amministratore Centro sicurezza (
roles/securitycenter.admin
)
Se un utente non richiede le autorizzazioni di modifica, valuta la possibilità di concedere i ruoli di visualizzatore.
Per visualizzare tutti gli asset, i risultati e i percorsi di attacco in Security Command Center, gli utenti devono disporre del ruolo Visualizzatore amministratore Centro sicurezza (roles/securitycenter.adminViewer
) a livello di organizzazione.
Per visualizzare le impostazioni, gli utenti devono disporre del ruolo Amministratore Centro sicurezza (roles/securitycenter.admin
) a livello di organizzazione.
Per limitare l'accesso a singole cartelle e progetti, non concedere tutti i ruoli a livello di organizzazione. Concedi invece i seguenti ruoli a livello di cartella o progetto:
- Visualizzatore asset Centro sicurezza (
roles/securitycenter.assetsViewer
) - Visualizzatore risultati Centro sicurezza (
roles/securitycenter.findingsViewer
)
Ruoli a livello di organizzazione
Quando i ruoli IAM vengono applicati a livello di organizzazione, i progetti e le cartelle di quell'organizzazione ereditano le associazioni di ruoli.
La figura seguente illustra una tipica gerarchia di risorse di Security Command Center con ruoli concessi a livello di organizzazione.
I ruoli IAM includono le autorizzazioni per visualizzare, modificare, aggiornare, creare o eliminare risorse. I ruoli concessi a livello di organizzazione in Security Command Center ti consentono di eseguire azioni prescritte su risultati, asset e origini di sicurezza in tutta l'organizzazione. Ad esempio, un utente a cui è stato concesso il ruolo Editor risultati del Centro sicurezza (roles/securitycenter.findingsEditor
) può visualizzare o modificare i risultati associati a qualsiasi risorsa in qualsiasi progetto o cartella della tua organizzazione.
Con questa struttura, non è necessario concedere ruoli agli utenti in ogni cartella o progetto.
Per istruzioni sulla gestione di ruoli e autorizzazioni, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
I ruoli a livello di organizzazione non sono adatti a tutti i casi d'uso, in particolare per le applicazioni sensibili o per gli standard di conformità che richiedono controlli dell'accesso rigorosi. Per creare criteri di accesso granulari, puoi concedere ruoli a livello di cartella e progetto.
Ruoli a livello di cartella e di progetto
Security Command Center consente di concedere ruoli IAM di Security Command Center per cartelle e progetti specifici, creando più viste o silos all'interno della tua organizzazione. Puoi concedere a utenti e gruppi un accesso diverso e autorizzazioni di modifica per cartelle e progetti in tutta l'organizzazione.
Il video seguente descrive come concedere i ruoli a livello di cartella e di progetto e come gestirli nella dashboard di Security Command Center.
Con i ruoli delle cartelle e dei progetti, gli utenti con ruoli di Security Command Center possono gestire asset e risultati all'interno di cartelle o progetti designati. Ad esempio, a un tecnico della sicurezza può essere concesso un accesso limitato a cartelle e progetti selezionati, mentre un amministratore della sicurezza può gestire tutte le risorse a livello di organizzazione.
I ruoli di cartella e progetto consentono di applicare le autorizzazioni di Security Command Center ai livelli inferiori della gerarchia delle risorse dell'organizzazione, ma non modificano la gerarchia. La figura seguente illustra un utente con le autorizzazioni di Security Command Center per accedere ai risultati in un progetto specifico.
Gli utenti con ruoli di cartelle e progetto visualizzano un sottoinsieme di risorse dell'organizzazione. Tutte le azioni che compiono sono limitate allo stesso ambito. Ad esempio, se un utente dispone delle autorizzazioni per una cartella, può accedere alle risorse in qualsiasi progetto nella cartella. Le autorizzazioni per un progetto consentono agli utenti di accedere alle risorse all'interno del progetto.
Per istruzioni sulla gestione di ruoli e autorizzazioni, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Limitazioni dei ruoli
Concedendo i ruoli di Security Command Center a livello di cartella o progetto, gli amministratori di Security Command Center possono fare quanto segue:
- Limita le autorizzazioni di visualizzazione o modifica di Security Command Center a cartelle e progetti specifici
- Concedi le autorizzazioni di visualizzazione e modifica per gruppi di asset o risultati a utenti o team specifici
- Limita la possibilità di visualizzare o modificare i dettagli dei risultati, compresi gli aggiornamenti dei contrassegni di sicurezza e dello stato dei risultati, a individui o gruppi con accesso al risultato sottostante
- Controlla l'accesso alle impostazioni di Security Command Center, che possono essere visualizzate solo dai privati con ruoli a livello di organizzazione
Funzioni di Security Command Center
Le funzioni di Security Command Center sono limitate anche in base alle autorizzazioni di visualizzazione e modifica.
Nella console Google Cloud, Security Command Center consente agli utenti senza autorizzazioni a livello di organizzazione di scegliere solo le risorse a cui hanno accesso. La selezione di questa opzione aggiorna tutti gli elementi dell'interfaccia utente, tra cui asset, risultati e controlli delle impostazioni. Gli utenti vedranno i privilegi associati ai propri ruoli e se possono accedere o modificare i risultati nell'ambito attuale.
L'API Security Command Center e Google Cloud CLI limitano anche le funzioni a cartelle e progetti prescritti. Se le chiamate per elencare o raggruppare gli asset e i risultati vengono effettuati dagli utenti a cui sono stati assegnati ruoli di cartella o progetto, vengono restituiti solo i risultati o gli asset in tali ambiti.
Per le attivazioni di Security Command Center a livello di organizzazione, le chiamate per creare o aggiornare i risultati e le notifiche sui risultati supportano solo l'ambito dell'organizzazione. Per eseguire queste attività sono necessari ruoli a livello di organizzazione.
Per visualizzare i percorsi di attacco generati dalle simulazioni dei percorsi di attacco, è necessario concedere le autorizzazioni appropriate a livello di organizzazione e la visualizzazione della console Google Cloud deve essere impostata sull'organizzazione.
Risorse padre per i risultati
In genere, un risultato è collegato a una risorsa, ad esempio una macchina virtuale (VM) o un firewall. Security Command Center collega i risultati al container più immediato per la risorsa che ha generato il risultato. Ad esempio, se una VM genera un risultato, questo viene associato al progetto che contiene la VM. I risultati non connessi a una risorsa Google Cloud sono collegati all'organizzazione e sono visibili a chiunque disponga delle autorizzazioni di Security Command Center a livello di organizzazione.
Ruoli IAM in Security Command Center
Di seguito è riportato un elenco dei ruoli IAM disponibili per Security Command Center e le autorizzazioni incluse al loro interno. Security Command Center supporta la concessione di questi ruoli a livello di organizzazione, cartella o progetto.
Role | Permissions |
---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Ruoli IAM nel servizio Security posture
Di seguito è riportato un elenco di ruoli e autorizzazioni IAM disponibili per il servizio Security posture e la funzionalità di convalida Infrastructure as Code. Puoi concedere questi ruoli a livello di organizzazione, cartella o progetto. Tieni presente che il ruolo Amministratore Security Posture è disponibile solo a livello di organizzazione.
Ruolo | Autorizzazioni |
---|---|
Amministratore Security posture( Accesso completo alle API di servizio Security Posture. |
|
Editor risorsa Security Posture( Autorizzazioni di modifica e lettura per la risorsa Posture. |
|
Autore deployment Security Posture( Autorizzazioni di modifica e lettura per la risorsa Deployment Posture. |
|
Visualizzatore risorsa Security Posture( Accesso in sola lettura alla risorsa Posture. |
|
Visualizzatore deployment Security Posture( Accesso in sola lettura alla risorsa Deployment Posture. |
|
Strumento di convalida spostamento a sinistra Security posture( Crea l'accesso ai report, ad esempio il report di convalida IaC. |
|
Visualizzatore Security Posture( Accesso in sola lettura a tutte le risorse del servizio SecurityPosture. |
|
Ruoli dell'agente di servizio
Un agente di servizio consente a un servizio di accedere alle tue risorse.
Dopo aver attivato Security Command Center, vengono creati per te due agenti di servizio:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
.Questo agente di servizio richiede il ruolo IAM
roles/securitycenter.serviceAgent
.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
.Questo agente di servizio richiede il ruolo IAM
roles/containerthreatdetection.serviceAgent
.
Durante il processo di attivazione di Security Command Center, ti viene richiesto di concedere uno o più ruoli IAM richiesti a ciascun agente di servizio. Per consentire il funzionamento di Security Command Center, è necessario concedere i ruoli a ciascun agente di servizio.
Per visualizzare le autorizzazioni per ciascun ruolo, vedi quanto segue:
Per concedere i ruoli, devi avere il ruolo roles/resourcemanager.organizationAdmin
.
Se non hai il ruolo roles/resourcemanager.organizationAdmin
, l'amministratore della tua organizzazione può concedere i ruoli agli agenti di servizio per te con il seguente comando gcloud CLI:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="SERVICE_AGENT_NAME" \ --role="IAM_ROLE"
Sostituisci quanto segue:
ORGANIZATION_ID
: l'ID della tua organizzazioneSERVICE_AGENT_NAME
: il nome dell'agente di servizio a cui stai concedendo il ruolo. Il nome è uno dei seguenti agente di servizio:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE
: il seguente ruolo obbligatorio corrispondente all'agente di servizio specificato:roles/securitycenter.serviceAgent
roles/containerthreatdetection.serviceAgent
Per maggiori informazioni sui ruoli IAM, consulta la Panoramica dei ruoli.
Web Security Scanner
I ruoli IAM specificano come puoi utilizzare Web Security Scanner. Le tabelle seguenti includono ogni ruolo IAM disponibile per Web Security Scanner e i metodi a sua disposizione. Concedi questi ruoli a livello di progetto. Per consentire agli utenti di creare e gestire le scansioni di sicurezza, aggiungi utenti al tuo progetto e concedi loro le autorizzazioni utilizzando i ruoli.
Web Security Scanner supporta ruoli di base e ruoli predefiniti che permettono di accedere in modo più granulare alle risorse di Web Security Scanner.
Ruoli IAM di base
Di seguito vengono descritte le autorizzazioni di Web Security Scanner concesse dai ruoli di base.
Ruolo | Descrizione |
---|---|
Owner | Ha accesso completo a tutte le risorse di Web Security Scanner |
Editor | Ha accesso completo a tutte le risorse di Web Security Scanner |
Visualizzatore | Nessun accesso a Web Security Scanner |
Ruoli IAM predefiniti
Di seguito vengono descritte le autorizzazioni di Web Security Scanner concesse dai ruoli di Web Security Scanner.
Role | Permissions |
---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Per maggiori informazioni sui ruoli IAM, consulta la Panoramica dei ruoli.