Auf dieser Seite wird beschrieben, wie Sie mit Identity and Access Management (IAM) den Zugriff auf Ressourcen bei einer Aktivierung des Security Command Centers auf Organisationsebene steuern. Diese Seite ist für Sie relevant, wenn einer der folgenden Punkte auf Sie zutrifft:
- Security Command Center ist auf Organisationsebene und nicht auf Projektebene aktiviert.
- Security Command Center Standard ist bereits auf Organisationsebene aktiviert. Außerdem haben Sie Security Command Center Premium für mindestens ein Projekt aktiviert.
Wenn Sie Security Command Center auf Projektebene und nicht auf Organisationsebene aktiviert haben, lesen Sie stattdessen den Hilfeartikel IAM für Aktivierungen auf Projektebene.
Wenn Sie Security Command Center auf Organisationsebene aktivieren, können Sie den Zugriff auf Ressourcen auf verschiedenen Ebenen der Ressourcenhierarchie steuern. Security Command Center verwendet IAM-Rollen, damit Sie kontrollieren können, wer was mit Assets, Ergebnissen und Sicherheitsquellen in Ihrer Security Command Center-Umgebung tun kann. Sie weisen Einzelpersonen und Anwendungen Rollen zu und jede Rolle bietet spezifische Berechtigungen.
Berechtigungen
Zum Einrichten des Security Command Center oder dem Ändern der Konfiguration Ihrer Organisation, benötigen Sie die beiden folgenden Rollen auf Organisationsebene:
- Organisationsadministrator (
roles/resourcemanager.organizationAdmin
) - Sicherheitscenter-Administrator (
roles/securitycenter.admin
)
Wenn ein Nutzer keine Bearbeitungsberechtigungen benötigt, sollten Sie ihm Betrachterrollen zuweisen.
Um alle Assets, Ergebnisse und Angriffspfade im Security Command Center aufzurufen, benötigen Nutzer die Rolle Security Center Admin-Betrachter (roles/securitycenter.adminViewer
) auf Organisationsebene.
Zum Aufrufen von Einstellungen benötigen Nutzer die Rolle Sicherheitscenter-Administrator (roles/securitycenter.admin
) auf Organisationsebene.
Zum Einschränken des Zugriffs auf einzelne Ordner und Projekte, gewähren Sie nicht alle Rollen auf Organisationsebene. Weisen Sie stattdessen die folgenden Rollen auf Ordnerebene oder Projektebene zu:
- Betrachter von Sicherheitscenter-Assets (
roles/securitycenter.assetsViewer
) - Sicherheitscenter-Ergebnisbetrachter (
roles/securitycenter.findingsViewer
)
Rollen auf Organisationsebene
Wenn IAM-Rollen auf Organisationsebene angewendet werden, erben Projekte und Ordner unter dieser Organisation die Rollenbindungen.
Die folgende Abbildung zeigt eine typische Ressourcenhierarchie des Security Command Center mit auf Organisationsebene gewährten Rollen.
IAM-Rollen enthalten Berechtigungen zum Aufrufen, Bearbeiten, Aktualisieren, Erstellen oder Löschen von Ressourcen. Mit den auf Organisationsebene im Security Command Center zugewiesenen Rollen können Sie vordefinierte Aktionen für Ergebnisse, Assets und Sicherheitsquellen in Ihrer gesamten Organisation ausführen. Beispielsweise kann ein Nutzer, dem die Rolle Sicherheitscenter-Ergebnisbearbeiter (roles/securitycenter.findingsEditor
) zugewiesen ist, die Ergebnisse ansehen oder bearbeiten, die an eine Ressource in einem Projekt oder Ordner in Ihrer Organisation angehängt sind.
Bei dieser Struktur müssen Sie Nutzern nicht in jedem Ordner oder Projekt Rollen zuweisen.
Eine Anleitung zum Verwalten von Rollen und Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Rollen auf Organisationsebene eignen sich nicht für alle Anwendungsfälle, insbesondere nicht für sensible Anwendungen oder Compliance-Standards, die strenge Zugriffssteuerungen erfordern. Wenn Sie detaillierte Zugriffsrichtlinien erstellen möchten, können Sie Rollen auf Ordner- und Projektebene zuweisen.
Rollen auf Ordner- und Projektebene
Mit Security Command Center können Sie IAM-Rollen von Security Command Center für bestimmte Ordner und Projekte zuweisen und mehrere Ansichten oder Silos innerhalb Ihrer Organisation erstellen. Sie gewähren Nutzern und Gruppen unterschiedliche Zugriffs- und Bearbeitungsberechtigungen für Ordner und Projekte in Ihrer Organisation.
Im folgenden Video wird beschrieben, wie Sie Rollen auf Ordner- und Projektebene gewähren und in der Security Command Center-Konsole verwalten.
Mit Ordner- und Projektrollen können Nutzer mit Security Command Center-Rollen Assets und Ergebnisse in bestimmten Projekten oder Ordnern verwalten. Einem Sicherheitstechniker kann beispielsweise ein begrenzter Zugriff auf ausgewählte Ordner und Projekte gewährt werden, während ein Sicherheitsadministrator alle Ressourcen auf Organisationsebene verwalten kann.
Ordner- und Projektrollen ermöglichen die Anwendung von Security Command Center-Berechtigungen auf niedrigeren Ebenen der Ressourcenhierarchie Ihrer Organisation, ändern die Hierarchie jedoch nicht. Die folgende Abbildung veranschaulicht einen Nutzer mit Security Command Center-Berechtigungen für den Zugriff auf Ergebnisse in einem bestimmten Projekt.
Nutzer mit Ordner- und Projektrollen sehen einen Teil der Ressourcen einer Organisation. Alle ausgeführten Aktionen sind auf denselben Bereich beschränkt. Wenn ein Nutzer beispielsweise Berechtigungen für einen Ordner hat, kann er auf Ressourcen in jedem Projekt im Ordner zugreifen. Mit Berechtigungen für ein Projekt erhalten Nutzer Zugriff auf die Ressourcen in diesem Projekt.
Eine Anleitung zum Verwalten von Rollen und Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Rollenbeschränkungen
Mit Security Command Center-Rollen auf Ordner- oder Projektebene können die Administratoren von Security Command Center Folgendes tun:
- Ansichts- oder Bearbeitungsberechtigungen des Security Command Center für bestimmte Ordner und Projekte beschränken
- Lese- und Bearbeitungsberechtigungen für Gruppen von Assets oder Ergebnissen für bestimmte Nutzer oder Teams gewähren
- Möglichkeit, Details zu Ergebnissen anzusehen oder zu bearbeiten, einschließlich Aktualisierungen für Sicherheitsmarkierungen und Ergebnisstatus, auf Einzelpersonen oder Gruppen mit Zugriff auf das zugrunde liegende Ergebnis zu beschränken
- Steuern Sie den Zugriff auf Security Command Center-Einstellungen, die nur von Einzelpersonen mit Rollen auf Organisationsebene angezeigt werden können.
Security Command Center-Funktionen
Security Command Center-Funktionen sind auch basierend auf Lese- und Bearbeitungsberechtigungen eingeschränkt.
In der Google Cloud Console können Nutzer ohne Berechtigungen auf Organisationsebene mit Security Command Center nur Ressourcen auswählen, auf die sie Zugriff haben. Ihre Auswahl aktualisiert alle Elemente der Benutzeroberfläche, einschließlich Assets, Ergebnissen und Einstellungen. Nutzer sehen die Berechtigungen, die mit ihren Rollen verknüpft sind, und ob sie auf die Ergebnisse in ihrem aktuellen Bereich zugreifen oder sie bearbeiten können.
Die Security Command Center API und die Google Cloud CLI beschränken Funktionen auch auf vorgeschriebene Ordner und Projekte. Wenn Nutzer mit Ordner- oder Projektrollen Assets und Ergebnisse auflisten oder gruppieren, werden nur Ergebnisse oder Assets in diesen Bereichen zurückgegeben.
Bei der Aktivierung von Security Command Center auf Organisationsebene werden Aufrufe zum Erstellen oder Aktualisieren von Ergebnissen und Ergebnisbenachrichtigungen nur auf Organisationsebene unterstützt. Sie benötigen Rollen auf Organisationsebene, um diese Aufgaben auszuführen.
Damit Sie die Angriffspfade sehen können, die durch Simulationen von Angriffspfaden generiert werden, müssen die entsprechenden Berechtigungen auf Organisationsebene erteilt und die Google Cloud Console-Ansicht auf die Organisation festgelegt sein.
Übergeordnete Ressourcen für Ergebnisse
In der Regel ist ein Ergebnis an eine Ressource wie eine virtuelle Maschine (VM) oder Firewall angehängt. Security Command Center hängt Ergebnisse an den nächstgelegenen Container für die Ressource an, die das Ergebnis generiert hat. Wenn eine VM beispielsweise ein Ergebnis generiert, wird das Ergebnis mit dem Projekt verknüpft, das die VM enthält. Ergebnisse, die nicht mit einer Google Cloud-Ressource verbunden sind, sind an die Organisation angehängt und für alle Nutzer mit Security Command Center-Berechtigungen auf Organisationsebene sichtbar.
IAM-Rollen im Security Command Center
Die folgende Liste enthält die für Security Command Center verfügbaren IAM-Rollen und die darin enthaltenen Berechtigungen. Security Command Center unterstützt die Zuweisung dieser Rollen auf Organisations-, Ordner- oder Projektebene.
Role | Permissions |
---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Reports Viewer Beta( Read access to security center compliance reports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Security Center Management Admin( Full access to manage Cloud Security Command Center services and custom modules configuration. |
|
Security Center Management Custom Modules Editor( Full access to manage Cloud Security Command Center custom modules. |
|
Security Center Management Custom Modules Viewer( Readonly access to Cloud Security Command Center custom modules. |
|
Security Center Management Custom ETD Modules Editor( Full access to manage Cloud Security Command Center ETD custom modules. |
|
Security Center Management ETD Custom Modules Viewer( Readonly access to Cloud Security Command Center ETD custom modules. |
|
Security Center Management Services Editor( Full access to manage Cloud Security Command Center services configuration. |
|
Security Center Management Services Viewer( Readonly access to Cloud Security Command Center services configuration. |
|
Security Center Management Settings Editor( Full access to manage Cloud Security Command Center settings |
|
Security Center Management Settings Viewer( Readonly access to Cloud Security Command Center settings |
|
Security Center Management SHA Custom Modules Editor( Full access to manage Cloud Security Command Center SHA custom modules. |
|
Security Center Management SHA Custom Modules Viewer( Readonly access to Cloud Security Command Center SHA custom modules. |
|
Security Center Management Viewer( Readonly access to Cloud Security Command Center services and custom modules configuration. |
|
IAM-Rollen im Dienst zur Bewertung der Sicherheitslage
Die folgende Liste enthält die IAM-Rollen und -Berechtigungen, die für den Dienst zur Bewertung der Sicherheitslage und die Funktion „Infrastruktur als Code“ verfügbar sind. Diese Rollen können auf Organisations-, Ordner- oder Projektebene gewährt werden. Die Rolle „Security Posture Admin“ ist nur auf Organisationsebene verfügbar.
Rolle | Berechtigungen |
---|---|
Security Posture Admin( Vollständiger Zugriff auf Security Posture-Dienst-APIs. |
|
Security Posture Resource Editor( Änderungs- und Leseberechtigungen für die Posture-Ressource. |
|
Security Posture Deployer( Änderungs- und Leseberechtigungen für die Posture-Bereitstellungsressource. |
|
Security Posture Resource Viewer( Lesezugriff auf die Posture-Ressource. |
|
Security Posture Deployments Viewer( Lesezugriff auf die Posture-Bereitstellungsressource. |
|
Security Posture Shift-Left Validator( Erstellungszugriff auf Berichte, z. B. IaC-Validierungsbericht. |
|
Security Posture Viewer( Lesezugriff auf alle Security Posture-Dienstressourcen. |
|
Dienst-Agent-Rollen
Ein Dienst-Agent ermöglicht einem Dienst den Zugriff auf Ihre Ressourcen.
Nachdem Sie Security Command Center aktiviert haben, werden zwei Servicemitarbeiter für Sie erstellt:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
.Für diesen Dienst-Agenten ist die IAM-Rolle
roles/securitycenter.serviceAgent
erforderlich.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
.Für diesen Dienst-Agenten ist die IAM-Rolle
roles/containerthreatdetection.serviceAgent
erforderlich.
Während der Aktivierung von Security Command Center werden Sie aufgefordert, jedem Kundenservicemitarbeiter eine oder mehrere erforderliche IAM-Rollen zuzuweisen. Die Rollen müssen allen Kundenservicemitarbeitern zugewiesen werden, damit Security Command Center funktioniert.
Informationen zu den Berechtigungen für die einzelnen Rollen finden Sie unter den folgenden Links:
Sie benötigen die Rolle roles/resourcemanager.organizationAdmin
, um die Rollen zu zuweisen.
Wenn Sie die Rolle roles/resourcemanager.organizationAdmin
nicht haben, kann der Administrator Ihrer Organisation die Rollen den Dienst-Agents mit dem folgenden gcloud CLI-Befehl für Sie gewähren:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="SERVICE_AGENT_NAME" \ --role="IAM_ROLE"
Ersetzen Sie Folgendes:
ORGANIZATION_ID
: Ihre Organisations-ID.SERVICE_AGENT_NAME
: Der Name des Kundenservicemitarbeiters, dem Sie die Rolle zuweisen. Der Name ist einer der folgenden Dienst-Agent-Namen:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE
: Die folgende erforderliche Rolle, die dem angegebenen Dienst-Agenten entspricht:roles/securitycenter.serviceAgent
roles/containerthreatdetection.serviceAgent
Weitere Informationen zu IAM-Rollen finden Sie unter Informationen zu Rollen.
Web Security Scanner
In IAM-Rollen ist vorgegeben, wie Sie Web Security Scanner verwenden können. Die folgenden Tabellen enthalten alle IAM-Rollen, die für Web Security Scanner verfügbar sind, sowie die dafür verfügbaren Methoden. Gewähren Sie diese Rollen auf Projektebene. Um Nutzern die Möglichkeit zu geben, Sicherheitsscans zu erstellen und zu verwalten, fügen Sie Ihrem Projekt Nutzer hinzu und erteilen ihnen mithilfe der Rollen Berechtigungen.
Web Security Scanner unterstützt einfache Rollen und vordefinierte Rollen, die einen genaueren Zugriff auf Web Security Scanner-Ressourcen ermöglichen.
Grundlegende IAM-Rollen
Im Folgenden werden die Berechtigungen für Web Security Scanner beschrieben, die mit einfachen Rollen gewährt werden.
Rolle | Beschreibung |
---|---|
Inhaber | Vollständiger Zugriff auf alle Web Security Scanner-Ressourcen |
Editor | Vollständiger Zugriff auf alle Web Security Scanner-Ressourcen |
Betrachter | Kein Zugriff auf Web Security Scanner |
Vordefinierte IAM-Rollen
Im Folgenden werden die Berechtigungen des Web Security Scanners beschrieben, die durch Web Security Scanner-Rollen gewährt werden.
Role | Permissions |
---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Weitere Informationen zu IAM-Rollen finden Sie unter Informationen zu Rollen.