Cette page explique comment utiliser Identity and Access Management (IAM) pour contrôler l'accès aux ressources lors d'une activation de Security Command Center au niveau de l'organisation. Cette page vous concerne si l'une des conditions suivantes s'applique:
- Security Command Center est activé au niveau de l'organisation et non au niveau du projet.
- Security Command Center Standard est déjà activé au niveau de l'organisation. De plus, Security Command Center Premium est activé sur un ou plusieurs projets.
Si vous avez activé Security Command Center au niveau du projet (et non au niveau de l'organisation), consultez plutôt IAM pour les activations au niveau du projet.
Dans une activation de Security Command Center au niveau de l'organisation, vous pouvez contrôler l'accès aux ressources à différents niveaux de votre hiérarchie de ressources. Security Command Center utilise des rôles IAM pour vous permettre de contrôler qui peut faire quoi avec les éléments, les résultats et les sources de sécurité de votre environnement Security Command Center. Vous attribuez des rôles à des individus et à des applications, et chaque rôle fournit des autorisations spécifiques.
Autorisations
Pour configurer Security Command Center ou modifier la configuration de votre organisation, vous avez besoin des deux rôles suivants au niveau de l'organisation :
- Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin) - Administrateur du centre de sécurité (
roles/securitycenter.admin)
Si un utilisateur ne nécessite pas de droits de modification, pensez à lui accorder des rôles de lecteur.
Pour afficher tous les éléments, résultats et chemins d'attaque dans Security Command Center, les utilisateurs doivent disposer du rôle Lecteur administrateur du centre de sécurité (roles/securitycenter.adminViewer) au niveau de l'organisation.
Pour afficher les paramètres, les utilisateurs doivent disposer du rôle Administrateur du centre de sécurité (roles/securitycenter.admin) au niveau de l'organisation.
Pour restreindre l'accès à des dossiers et projets individuels, n'attribuez pas tous les rôles au niveau de l'organisation. Accordez plutôt les rôles suivants au niveau du dossier ou du projet :
- Lecteur d'éléments du centre de sécurité (
roles/securitycenter.assetsViewer) - Lecteur de résultats du centre de sécurité (
roles/securitycenter.findingsViewer)
Rôles au niveau de l'organisation
Lorsque des rôles IAM sont appliqués au niveau de l'organisation, les projets et les dossiers de cette organisation héritent de ses liaisons de rôle.
La figure suivante illustre une hiérarchie de ressources Security Command Center classique avec des rôles accordés au niveau de l'organisation.
Les rôles IAM incluent des autorisations permettant d'afficher, de modifier, de mettre à jour, de créer ou de supprimer des ressources. Les rôles attribués au niveau de l'organisation dans Security Command Center vous permettent d'appliquer des actions prescrites aux résultats, aux éléments et aux sources de sécurité dans l'ensemble de votre organisation. Par exemple, un utilisateur disposant du rôle Éditeur de résultats du centre de sécurité (roles/securitycenter.findingsEditor) peut afficher ou modifier les résultats associés à n'importe quelle ressource dans tout projet ou dossier de votre organisation.
Avec cette structure, il n'est pas nécessaire d'attribuer des rôles aux utilisateurs dans chaque dossier ou projet.
Pour obtenir des instructions sur la gestion des rôles et des autorisations, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Les rôles au niveau de l'organisation ne conviennent pas à tous les cas d'utilisation, en particulier pour les applications sensibles ou les normes de conformité qui nécessitent un contrôle des accès strict. Pour créer des règles d'accès précises, vous pouvez attribuer des rôles au niveau des dossiers et des projets.
Rôles au niveau du dossier et du projet
Security Command Center vous permet d'attribuer des rôles IAM de Security Command Center pour des dossiers et des projets spécifiques, ce qui crée plusieurs vues, ou silos, au sein de votre organisation. Vous accordez aux utilisateurs et aux groupes différentes autorisations d'accès et de modification aux dossiers et aux projets de votre organisation.
La vidéo suivante explique comment attribuer des rôles au niveau du dossier et du projet, et comment les gérer dans le tableau de bord Security Command Center.
Grâce aux rôles de dossier et de projet, les utilisateurs disposant de rôles Security Command Center peuvent gérer les éléments et les résultats dans des projets ou des dossiers désignés. Par exemple, un ingénieur de la sécurité peut disposer d'un accès limité à certains dossiers et projets, tandis qu'un administrateur de la sécurité peut gérer toutes les ressources au niveau de l'organisation.
Les rôles liés aux dossiers et aux projets permettent d'appliquer des autorisations Security Command Center à des niveaux inférieurs de la hiérarchie de ressources de votre organisation. En revanche, ils ne modifient pas la hiérarchie. La figure suivante montre un utilisateur disposant des autorisations Security Command Center pour accéder aux résultats d'un projet spécifique.
Les utilisateurs disposant de rôles de dossier et de projet voient un sous-ensemble de ressources d'une organisation. Toutes les actions qu'ils effectuent sont limitées au même champ d'application. Par exemple, si un utilisateur est autorisé à accéder à un dossier, il peut accéder aux ressources de n'importe quel projet du dossier. Les autorisations associées à un projet permettent aux utilisateurs d'accéder aux ressources de ce projet.
Pour obtenir des instructions sur la gestion des rôles et des autorisations, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Restrictions applicables aux rôles
En attribuant des rôles Security Command Center au niveau du dossier ou du projet, les administrateurs Security Command Center peuvent effectuer les opérations suivantes:
- limiter les autorisations d'affichage ou de modification Security Command Center à des dossiers et des projets spécifiques ;
- Accorder des autorisations d'affichage et de modification à des groupes d'éléments ou de résultats à des utilisateurs ou à des équipes spécifiques ;
- Restreindre la possibilité d'afficher ou de modifier les détails des résultats, y compris les mises à jour des marques de sécurité et l'état des résultats, aux individus ou aux groupes ayant accès au résultat sous-jacent ;
- Contrôler l'accès aux paramètres de Security Command Center, qui ne peuvent être consultés que par les personnes disposant de rôles au niveau de l'organisation.
Fonctions de Security Command Center
Les fonctions de Security Command Center sont également limitées en fonction des autorisations d'affichage et de modification.
Dans la console Google Cloud, Security Command Center permet aux utilisateurs ne disposant pas d'autorisations au niveau de l'organisation de choisir uniquement les ressources auxquelles ils ont accès. Sa sélection met à jour tous les éléments de l'interface utilisateur, y compris les éléments, les résultats et les paramètres. Les utilisateurs voient les droits associés à leurs rôles et s'ils peuvent accéder aux résultats ou les modifier dans leur champ d'application actuel.
L'API Security Command Center et Google Cloud CLI limitent également les fonctions aux dossiers et projets prescrits. Si des appels permettant de répertorier ou de regrouper des éléments et des résultats sont effectués par des utilisateurs disposant de rôles de dossier ou de projet, seuls les résultats ou les éléments associés à ces champs d'application sont renvoyés.
Pour les activations de Security Command Center au niveau de l'organisation, les appels permettant de créer ou de mettre à jour les résultats et les notifications de résultats n'acceptent que le champ d'application de l'organisation. Vous devez disposer de rôles au niveau de l'organisation pour effectuer ces tâches.
Pour afficher les chemins d'attaque générés par des simulations de chemin d'attaque, les autorisations appropriées doivent être accordées au niveau de l'organisation et la vue de la console Google Cloud doit être définie sur l'organisation.
Ressources parentes des résultats
En règle générale, un résultat est associé à une ressource, telle qu'une machine virtuelle (VM) ou un pare-feu. Security Command Center associe les résultats au conteneur le plus immédiat pour la ressource qui a généré le résultat. Par exemple, si une VM génère un résultat, celui-ci est associé au projet contenant la VM. Les résultats qui ne sont pas associés à une ressource Google Cloud sont associés à l'organisation et sont visibles par toute personne disposant des autorisations Security Command Center au niveau de l'organisation.
Rôles IAM dans Security Command Center
Vous trouverez ci-dessous la liste des rôles IAM disponibles pour Security Command Center, ainsi que les autorisations qu'ils comprennent. Security Command Center permet d'attribuer ces rôles au niveau de l'organisation, d'un dossier ou d'un projet.
| Role | Permissions |
|---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Rôles IAM dans le service de stratégie de sécurité
Vous trouverez ci-dessous une liste des rôles et autorisations IAM disponibles pour le service de stratégie de sécurité et la fonctionnalité de validation Infrastructure as Code. Vous pouvez attribuer ces rôles au niveau de l'organisation, d'un dossier ou d'un projet. Notez que le rôle "Administrateur de stratégie de sécurité" n'est disponible qu'au niveau de l'organisation.
| Rôle | Autorisations |
|---|---|
Administrateur de stratégie de sécurité( Accès complet aux API du service de stratégie de sécurité. |
|
Éditeur de la ressource de stratégie de sécurité( Autorisations permettant de lire et modifier la ressource de stratégie. |
|
Déployeur de stratégie de sécurité( Autorisations permettant de lire et modifier la ressource de déploiement de stratégie. |
|
Lecteur de la ressource de stratégie de sécurité( Accès en lecture seule à la ressource de stratégie. |
|
Lecteur de déploiements de stratégie de sécurité( Accès en lecture seule à la ressource de déploiement de stratégie. |
|
Valideur de stratégie de sécurité en amont( Permet de créer des rapports (par exemple, rapport de validation IaC). |
|
Lecteur de stratégie de sécurité( Accès en lecture seule à toutes les ressources du service SecurityPosture. |
|
Rôles d'agent de service
Un agent de service permet à un service d'accéder à vos ressources.
Une fois Security Command Center activé, deux agents de service sont créés pour vous:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com.Cet agent de service nécessite le rôle IAM
roles/securitycenter.serviceAgent.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com.Cet agent de service nécessite le rôle IAM
roles/containerthreatdetection.serviceAgent.
Au cours du processus d'activation de Security Command Center, vous êtes invité à attribuer un ou plusieurs rôles IAM requis à chaque agent de service. Vous devez attribuer des rôles à chaque agent de service pour que Security Command Center fonctionne.
Pour afficher les autorisations pour chaque rôle, consultez les pages suivantes:
Pour attribuer les rôles, vous devez disposer du rôle roles/resourcemanager.organizationAdmin.
Si vous ne disposez pas du rôle roles/resourcemanager.organizationAdmin, l'administrateur de votre organisation peut attribuer les rôles aux agents de service à l'aide de la commande gcloud CLI suivante:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="SERVICE_AGENT_NAME" \
--role="IAM_ROLE"
Remplacez les éléments suivants :
ORGANIZATION_ID: ID de votre organisation.SERVICE_AGENT_NAME: nom de l'agent de service auquel vous attribuez le rôle. Il s'agit de l'un des noms d'agent de service suivants :service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.comservice-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE: rôle obligatoire suivant, correspondant à l'agent de service spécifié :roles/securitycenter.serviceAgentroles/containerthreatdetection.serviceAgent
Pour en savoir plus sur les rôles IAM, consultez la page Comprendre les rôles.
Web Security Scanner
Les rôles IAM vous expliquent comment utiliser Web Security Scanner. Les tableaux ci-dessous présentent chaque rôle IAM disponible pour Web Security Scanner, ainsi que les méthodes associées. Accordez ces rôles au niveau du projet. Pour donner aux utilisateurs la possibilité de créer et de gérer des analyses de sécurité, ajoutez des utilisateurs à votre projet et accordez-leur des autorisations à l'aide de rôles IAM.
Web Security Scanner accepte les rôles de base et les rôles prédéfinis qui offrent un accès plus précis aux ressources de Web Security Scanner.
Rôles IAM de base
La section suivante décrit les autorisations Web Scanner accordées par les rôles de base.
| Rôle | Description |
|---|---|
| Propriétaire | Accès complet à toutes les ressources Web Security Scanner |
| Éditeur | Accès complet à toutes les ressources Web Security Scanner |
| Lecteur | Aucun accès à Web Security Scanner |
Rôles IAM prédéfinis
La section suivante décrit les autorisations de Web Security Scanner accordées par les rôles Web Security Scanner.
| Role | Permissions |
|---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Pour en savoir plus sur les rôles IAM, consultez la page Comprendre les rôles.