Auf dieser Seite wird beschrieben, wie Sie mit Identity and Access Management (IAM) den Zugriff auf Ressourcen bei einer Aktivierung von Security Command Center auf Organisationsebene steuern. Diese Seite ist für Sie relevant, wenn eine der folgenden Bedingungen zutrifft:
- Security Command Center wird auf Organisationsebene und nicht auf Projektebene aktiviert.
- Security Command Center Standard ist bereits auf Organisationsebene aktiviert. Darüber hinaus haben Sie Security Command Center Premium für ein oder mehrere Projekte aktiviert.
Wenn Sie Security Command Center auf Projektebene und nicht auf Organisationsebene aktiviert haben, lesen Sie stattdessen IAM für die Aktivierung auf Projektebene.
Bei einer Aktivierung von Security Command Center auf Organisationsebene können Sie den Zugriff auf Ressourcen auf verschiedenen Ebenen Ihrer Ressourcenhierarchie steuern. Security Command Center verwendet IAM-Rollen, mit denen Sie steuern können, wer was mit Assets, Ergebnissen und Sicherheitsquellen in Ihrer Security Command Center-Umgebung tun darf. Sie gewähren einzelnen Nutzern und Anwendungen Rollen und jede Rolle beinhaltet bestimmte Berechtigungen.
Berechtigungen
Zum Einrichten des Security Command Center oder dem Ändern der Konfiguration Ihrer Organisation, benötigen Sie die beiden folgenden Rollen auf Organisationsebene:
- Organisationsadministrator (
roles/resourcemanager.organizationAdmin
) - Sicherheitscenter-Administrator (
roles/securitycenter.admin
)
Wenn ein Nutzer keine Bearbeitungsberechtigungen benötigt, sollten Sie ihm Betrachterrollen zuweisen.
Zum Ansehen aller Assets, Ergebnisse und Angriffspfade in Security Command Center benötigen Nutzer die Rolle Security Center Admin Viewer (roles/securitycenter.adminViewer
) auf Organisationsebene.
Zum Ansehen der Einstellungen benötigen Nutzer die Rolle Sicherheitscenter-Administrator (roles/securitycenter.admin
) auf Organisationsebene.
Zum Einschränken des Zugriffs auf einzelne Ordner und Projekte, gewähren Sie nicht alle Rollen auf Organisationsebene. Weisen Sie stattdessen die folgenden Rollen auf Ordnerebene oder Projektebene zu:
- Betrachter von Sicherheitscenter-Assets (
roles/securitycenter.assetsViewer
) - Sicherheitscenter-Ergebnisbetrachter (
roles/securitycenter.findingsViewer
)
Rollen auf Organisationsebene
Wenn IAM-Rollen auf Organisationsebene angewendet werden, übernehmen Projekte und Ordner in dieser Organisation ihre Rollenbindungen.
Die folgende Abbildung zeigt eine typische Ressourcenhierarchie des Security Command Center mit auf Organisationsebene gewährten Rollen.
IAM-Rollen enthalten Berechtigungen zum Aufrufen, Bearbeiten, Aktualisieren, Erstellen oder Löschen von Ressourcen. Mit den auf Organisationsebene im Security Command Center zugewiesenen Rollen können Sie vordefinierte Aktionen für Ergebnisse, Assets und Sicherheitsquellen in Ihrer gesamten Organisation ausführen. Beispielsweise kann ein Nutzer, dem die Rolle Sicherheitscenter-Ergebnisbearbeiter (roles/securitycenter.findingsEditor
) zugewiesen ist, die Ergebnisse ansehen oder bearbeiten, die an eine Ressource in einem Projekt oder Ordner in Ihrer Organisation angehängt sind.
Bei dieser Struktur müssen Sie Nutzern nicht in jedem Ordner oder Projekt Rollen zuweisen.
Eine Anleitung zum Verwalten von Rollen und Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Rollen auf Organisationsebene eignen sich nicht für alle Anwendungsfälle, insbesondere nicht für sensible Anwendungen oder Compliance-Standards, die strenge Zugriffssteuerungen erfordern. Zum Erstellen detaillierter Zugriffsrichtlinien können Sie Rollen auf Ordner- und Projektebene zuweisen.
Rollen auf Ordner- und Projektebene
Mit Security Command Center können Sie Security Command Center-IAM-Rollen für bestimmte Ordner und Projekte zuweisen, um mehrere Ansichten oder Silos in Ihrer Organisation zu erstellen. Sie gewähren Nutzern und Gruppen unterschiedliche Zugriffs- und Bearbeitungsberechtigungen für Ordner und Projekte in Ihrer Organisation.
Im folgenden Video wird beschrieben, wie Sie Rollen auf Ordner- und Projektebene zuweisen und im Security Command Center-Dashboard verwalten.
Mit Ordner- und Projektrollen können Nutzer mit Security Command Center-Rollen Assets und Ergebnisse in bestimmten Projekten oder Ordnern verwalten. Einem Sicherheitstechniker kann beispielsweise ein begrenzter Zugriff auf ausgewählte Ordner und Projekte gewährt werden, während ein Sicherheitsadministrator alle Ressourcen auf Organisationsebene verwalten kann.
Ordner- und Projektrollen ermöglichen die Anwendung von Security Command Center-Berechtigungen auf niedrigeren Ebenen der Ressourcenhierarchie Ihrer Organisation, ändern die Hierarchie jedoch nicht. Die folgende Abbildung veranschaulicht einen Nutzer mit Security Command Center-Berechtigungen für den Zugriff auf Ergebnisse in einem bestimmten Projekt.
Nutzer mit Ordner- und Projektrollen sehen einen Teil der Ressourcen einer Organisation. Alle ausgeführten Aktionen sind auf denselben Bereich beschränkt. Wenn ein Nutzer beispielsweise Berechtigungen für einen Ordner hat, kann er auf Ressourcen in jedem Projekt im Ordner zugreifen. Mit Berechtigungen für ein Projekt erhalten Nutzer Zugriff auf die Ressourcen in diesem Projekt.
Eine Anleitung zum Verwalten von Rollen und Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Rollenbeschränkungen
Wenn Sie Security Command Center-Rollen auf Ordner- oder Projektebene zuweisen, können Administratoren von Security Command Center Folgendes tun:
- Ansichts- oder Bearbeitungsberechtigungen des Security Command Center für bestimmte Ordner und Projekte beschränken
- Lese- und Bearbeitungsberechtigungen für Gruppen von Assets oder Ergebnissen für bestimmte Nutzer oder Teams gewähren
- Möglichkeit, Details zu Ergebnissen anzusehen oder zu bearbeiten, einschließlich Aktualisierungen für Sicherheitsmarkierungen und Ergebnisstatus, auf Einzelpersonen oder Gruppen mit Zugriff auf das zugrunde liegende Ergebnis zu beschränken
- Steuern Sie den Zugriff auf Security Command Center-Einstellungen, die nur von Einzelpersonen mit Rollen auf Organisationsebene angezeigt werden können.
Security Command Center-Funktionen
Die Funktionen von Security Command Center werden ebenfalls anhand von Anzeige- und Bearbeitungsberechtigungen eingeschränkt.
In der Google Cloud Console können Personen ohne Berechtigungen auf Organisationsebene über Security Command Center nur Ressourcen auswählen, auf die sie Zugriff haben. Dadurch werden alle Elemente der Benutzeroberfläche aktualisiert, einschließlich Assets, Ergebnisse und Einstellungen. Nutzer sehen die mit ihren Rollen verbundenen Berechtigungen und darüber, ob sie in ihrem aktuellen Bereich auf Ergebnisse zugreifen oder diese bearbeiten können.
Die Security Command Center API und die Google Cloud CLI beschränken Funktionen auch auf vorgeschriebene Ordner und Projekte. Wenn Nutzer mit Ordner- oder Projektrollen Assets und Ergebnisse auflisten oder gruppieren, werden nur Ergebnisse oder Assets in diesen Bereichen zurückgegeben.
Bei Aktivierungen von Security Command Center auf Organisationsebene unterstützen Aufrufe zum Erstellen oder Aktualisieren von Ergebnissen und Ergebnisbenachrichtigungen nur den Organisationsbereich. Sie benötigen Rollen auf Organisationsebene, um diese Aufgaben auszuführen.
Damit Sie die Angriffspfade ansehen können, die durch Angriffspfadsimulationen generiert werden, müssen die entsprechenden Berechtigungen auf Organisationsebene gewährt und die Ansicht der Google Cloud Console auf die Organisation festgelegt sein.
Übergeordnete Ressourcen für Ergebnisse
In der Regel ist ein Ergebnis an eine Ressource wie eine virtuelle Maschine (VM) oder Firewall angehängt. Security Command Center hängt Ergebnisse an den nächstgelegenen Container für die Ressource an, die das Ergebnis generiert hat. Wenn eine VM beispielsweise ein Ergebnis generiert, wird das Ergebnis mit dem Projekt verknüpft, das die VM enthält. Ergebnisse, die nicht mit einer Google Cloud-Ressource verbunden sind, sind an die Organisation angehängt und für alle Nutzer mit Security Command Center-Berechtigungen auf Organisationsebene sichtbar.
IAM-Rollen im Security Command Center
Die folgende Liste enthält die für Security Command Center verfügbaren IAM-Rollen und die darin enthaltenen Berechtigungen. Security Command Center unterstützt das Gewähren dieser Rollen auf Organisations-, Ordner- oder Projektebene.
Role | Permissions |
---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
IAM-Rollen im Dienst für den Sicherheitsstatus
Im Folgenden finden Sie eine Liste von IAM-Rollen und -Berechtigungen, die für den Dienst für den Sicherheitsstatus und die Infrastruktur als Codevalidierungsfeature verfügbar sind. Sie können diese Rollen auf Organisations-, Ordner- oder Projektebene zuweisen. Die Rolle „Administrator des Sicherheitsstatus“ ist nur auf Organisationsebene verfügbar.
Rolle | Berechtigungen |
---|---|
Security Posture Admin( Vollständiger Zugriff auf Security Posture-Dienst-APIs. |
|
Security Posture Resource Editor( Änderungs- und Leseberechtigungen für die Posture-Ressource. |
|
Security Posture Deployer( Änderungs- und Leseberechtigungen für die Posture-Bereitstellungsressource. |
|
Security Posture Resource Viewer( Lesezugriff auf die Posture-Ressource. |
|
Security Posture Deployments Viewer( Lesezugriff auf die Posture-Bereitstellungsressource. |
|
Security Posture Shift-Left Validator( Erstellungszugriff auf Berichte, z. B. IaC-Validierungsbericht. |
|
Security Posture Viewer( Lesezugriff auf alle Security Posture-Dienstressourcen. |
|
Dienst-Agent-Rollen
Ein Dienst-Agent ermöglicht einem Dienst den Zugriff auf Ihre Ressourcen.
Nachdem Sie Security Command Center aktiviert haben, werden zwei Dienst-Agents für Sie erstellt:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
.Für diesen Dienst-Agent ist die IAM-Rolle
roles/securitycenter.serviceAgent
erforderlich.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
.Für diesen Dienst-Agent ist die IAM-Rolle
roles/containerthreatdetection.serviceAgent
erforderlich.
Während der Aktivierung von Security Command Center werden Sie aufgefordert, jedem Dienst-Agent eine oder mehrere erforderliche IAM-Rollen zuzuweisen. Die Rollenzuweisung für jeden Dienst-Agent ist erforderlich, damit Security Command Center funktioniert.
So rufen Sie die Berechtigungen für die einzelnen Rollen auf:
Zum Gewähren der Rollen benötigen Sie die Rolle roles/resourcemanager.organizationAdmin
.
Wenn Sie die Rolle roles/resourcemanager.organizationAdmin
nicht haben, kann Ihr Organisationsadministrator die Rollen den Dienst-Agents über den folgenden gcloud CLI-Befehl für Sie zuweisen:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="SERVICE_AGENT_NAME" \ --role="IAM_ROLE"
Ersetzen Sie Folgendes:
ORGANIZATION_ID
: Ihre Organisations-ID.SERVICE_AGENT_NAME
: der Name des Dienst-Agents, dem Sie die Rolle gewähren. Der Name ist einer der folgenden Dienst-Agent-Namen:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE
: die folgende erforderliche Rolle, die dem angegebenen Dienst-Agent entspricht:roles/securitycenter.serviceAgent
roles/containerthreatdetection.serviceAgent
Weitere Informationen zu IAM-Rollen finden Sie unter Informationen zu Rollen.
Web Security Scanner
In IAM-Rollen ist vorgegeben, wie Sie Web Security Scanner verwenden können. Die folgenden Tabellen enthalten alle IAM-Rollen, die für Web Security Scanner verfügbar sind, sowie die dafür verfügbaren Methoden. Gewähren Sie diese Rollen auf Projektebene. Um Nutzern die Möglichkeit zu geben, Sicherheitsscans zu erstellen und zu verwalten, fügen Sie Ihrem Projekt Nutzer hinzu und erteilen ihnen mithilfe der Rollen Berechtigungen.
Web Security Scanner unterstützt einfache Rollen und vordefinierte Rollen, die einen genaueren Zugriff auf Web Security Scanner-Ressourcen ermöglichen.
Grundlegende IAM-Rollen
Im Folgenden werden die Berechtigungen für Web Security Scanner beschrieben, die mit einfachen Rollen gewährt werden.
Rolle | Beschreibung |
---|---|
Inhaber | Vollständiger Zugriff auf alle Web Security Scanner-Ressourcen |
Editor | Vollständiger Zugriff auf alle Web Security Scanner-Ressourcen |
Betrachter | Kein Zugriff auf Web Security Scanner |
Vordefinierte IAM-Rollen
Im Folgenden werden die Berechtigungen des Web Security Scanners beschrieben, die durch Web Security Scanner-Rollen gewährt werden.
Role | Permissions |
---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Weitere Informationen zu IAM-Rollen finden Sie unter Informationen zu Rollen.