Halaman ini menjelaskan cara menggunakan Identity and Access Management (IAM) untuk mengontrol akses ke resource dalam aktivasi Security Command Center tingkat organisasi. Halaman ini relevan untuk Anda jika salah satu kondisi berikut berlaku:
- Security Command Center diaktifkan di level organisasi, bukan di level project.
- Security Command Center Standar sudah diaktifkan di tingkat organisasi. Selain itu, Anda telah mengaktifkan Security Command Center Premium di satu atau beberapa project.
Jika Anda mengaktifkan Security Command Center di level project, bukan di level organisasi, lihat IAM untuk aktivasi level project.
Dalam aktivasi level organisasi Security Command Center, Anda dapat mengontrol akses ke resource di berbagai tingkat hierarki resource. Security Command Center menggunakan peran IAM untuk memungkinkan Anda mengontrol siapa yang dapat melakukan apa pada aset, temuan, dan sumber keamanan di lingkungan Security Command Center Anda. Anda memberikan peran kepada individu dan aplikasi, dan setiap peran memberikan izin tertentu.
Izin
Untuk menyiapkan Security Command Center atau mengubah konfigurasi organisasi, Anda memerlukan kedua peran berikut di tingkat organisasi:
- Admin Organisasi (
roles/resourcemanager.organizationAdmin
) - Security Center Admin (
roles/securitycenter.admin
)
Jika pengguna tidak memerlukan izin edit, pertimbangkan untuk memberinya peran penonton.
Untuk melihat semua aset, temuan, dan jalur serangan di
Security Command Center, pengguna memerlukan peran Security Center Admin Viewer
(roles/securitycenter.adminViewer
) di tingkat organisasi.
Untuk melihat setelan, pengguna memerlukan peran Security Center Admin
(roles/securitycenter.admin
) di tingkat organisasi.
Untuk membatasi akses ke setiap folder dan project, jangan berikan semua peran di level organisasi. Sebagai gantinya, berikan peran berikut di tingkat folder atau project:
- Security Center Assets Viewer (
roles/securitycenter.assetsViewer
) - Security Center Findings Viewer (
roles/securitycenter.findingsViewer
)
Peran tingkat organisasi
Saat peran IAM diterapkan di tingkat organisasi, project dan folder dalam organisasi tersebut akan mewarisi binding peran.
Gambar berikut mengilustrasikan hierarki resource Security Command Center umum dengan peran yang diberikan di tingkat organisasi.
Peran IAM mencakup izin untuk melihat, mengedit, memperbarui, membuat, atau menghapus resource. Peran yang diberikan di tingkat organisasi di Security Command Center
memungkinkan Anda melakukan tindakan yang ditentukan pada temuan, aset, dan sumber keamanan
di seluruh organisasi. Misalnya, pengguna yang diberi peran Security Center
Findings Editor (roles/securitycenter.findingsEditor
) dapat melihat atau mengedit
temuan yang dilampirkan ke resource apa pun di project atau folder apa pun di organisasi Anda.
Dengan struktur ini, Anda tidak perlu memberikan peran kepada pengguna di setiap folder atau project.
Untuk mengetahui petunjuk tentang cara mengelola peran dan izin, lihat Mengelola akses ke project, folder, dan organisasi.
Peran tingkat organisasi tidak cocok untuk semua kasus penggunaan, terutama untuk aplikasi sensitif atau standar kepatuhan yang memerlukan kontrol akses ketat. Untuk membuat kebijakan akses terperinci, Anda dapat memberikan peran di tingkat folder dan project.
Peran tingkat folder dan tingkat project
Security Command Center memungkinkan Anda memberikan peran IAM Security Command Center untuk folder dan project tertentu, sehingga membuat beberapa tampilan, atau silo, dalam organisasi Anda. Anda memberikan akses dan izin edit yang berbeda kepada pengguna dan grup ke folder dan project di seluruh organisasi.
Video berikut menjelaskan cara memberikan peran level folder dan level project serta cara mengelolanya di konsol Security Command Center.
Dengan peran folder dan project, pengguna dengan peran Security Command Center memiliki kemampuan untuk mengelola aset dan temuan dalam project atau folder yang ditetapkan. Misalnya, engineer keamanan dapat diberi akses terbatas ke folder dan project tertentu, sedangkan administrator keamanan dapat mengelola semua resource di tingkat organisasi.
Peran folder dan project memungkinkan izin Security Command Center diterapkan di level yang lebih rendah dalam hierarki resource organisasi Anda, tetapi tidak mengubah hierarki. Gambar berikut mengilustrasikan pengguna dengan izin Security Command Center untuk mengakses temuan di project tertentu.
Pengguna dengan peran folder dan project melihat sebagian resource organisasi. Setiap tindakan yang mereka lakukan dibatasi pada cakupan yang sama. Misalnya, jika pengguna memiliki izin untuk folder, mereka dapat mengakses resource dalam project apa pun di folder tersebut. Izin untuk project memberi pengguna akses ke resource dalam project tersebut.
Untuk mengetahui petunjuk tentang cara mengelola peran dan izin, lihat Mengelola akses ke project, folder, dan organisasi.
Pembatasan peran
Dengan memberikan peran Security Command Center di tingkat folder atau project, administrator Security Command Center dapat melakukan hal berikut:
- Membatasi izin lihat atau edit Security Command Center ke folder dan project tertentu
- Memberikan izin lihat dan edit untuk grup aset atau temuan kepada pengguna atau tim tertentu
- Membatasi kemampuan untuk melihat atau mengedit detail temuan, termasuk pembaruan pada tanda keamanan dan status temuan, kepada individu atau grup yang memiliki akses ke temuan pokok
- Mengontrol akses ke setelan Security Command Center, yang hanya dapat dilihat oleh individu dengan peran tingkat organisasi
Fungsi Security Command Center
Fungsi Security Command Center juga dibatasi berdasarkan izin lihat dan edit.
Di konsol Google Cloud, Security Command Center memungkinkan individu tanpa izin tingkat organisasi hanya memilih resource yang dapat mereka akses. Pilihannya akan memperbarui semua elemen antarmuka pengguna, termasuk aset, temuan, dan kontrol setelan. Pengguna melihat hak istimewa yang terkait dengan peran mereka dan apakah mereka dapat mengakses atau mengedit temuan pada cakupan saat ini.
Security Command Center API dan Google Cloud CLI juga membatasi fungsi ke folder dan project yang ditentukan. Jika panggilan untuk mencantumkan atau mengelompokkan aset dan temuan dilakukan oleh pengguna yang diberi peran folder atau project, hanya temuan atau aset di cakupan tersebut yang ditampilkan.
Untuk aktivasi Security Command Center tingkat organisasi, panggilan untuk membuat atau memperbarui temuan dan notifikasi temuan hanya mendukung cakupan organisasi. Anda memerlukan peran tingkat organisasi untuk melakukan tugas ini.
Untuk melihat jalur serangan yang dihasilkan oleh simulasi jalur serangan, izin yang sesuai harus diberikan di tingkat organisasi dan tampilan konsol Google Cloud harus ditetapkan ke organisasi.
Referensi induk untuk temuan
Biasanya, temuan dilampirkan ke resource, seperti virtual machine (VM) atau firewall. Security Command Center melampirkan temuan ke penampung terdekat untuk resource yang menghasilkan temuan. Misalnya, jika VM menghasilkan temuan, temuan tersebut akan dilampirkan ke project yang berisi VM. Temuan yang tidak terhubung ke resource Google Cloud akan dilampirkan ke organisasi dan dapat dilihat oleh siapa saja yang memiliki izin Security Command Center tingkat organisasi.
Peran IAM di Security Command Center
Berikut adalah daftar peran IAM yang tersedia untuk Security Command Center dan izin yang disertakan di dalamnya. Security Command Center mendukung pemberian peran ini di tingkat organisasi, folder, atau project.
Role | Permissions |
---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Reports Viewer Beta( Read access to security center compliance reports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Security Center Management Admin( Full access to manage Cloud Security Command Center services and custom modules configuration. |
|
Security Center Management Custom Modules Editor( Full access to manage Cloud Security Command Center custom modules. |
|
Security Center Management Custom Modules Viewer( Readonly access to Cloud Security Command Center custom modules. |
|
Security Center Management Custom ETD Modules Editor( Full access to manage Cloud Security Command Center ETD custom modules. |
|
Security Center Management ETD Custom Modules Viewer( Readonly access to Cloud Security Command Center ETD custom modules. |
|
Security Center Management Services Editor( Full access to manage Cloud Security Command Center services configuration. |
|
Security Center Management Services Viewer( Readonly access to Cloud Security Command Center services configuration. |
|
Security Center Management Settings Editor( Full access to manage Cloud Security Command Center settings |
|
Security Center Management Settings Viewer( Readonly access to Cloud Security Command Center settings |
|
Security Center Management SHA Custom Modules Editor( Full access to manage Cloud Security Command Center SHA custom modules. |
|
Security Center Management SHA Custom Modules Viewer( Readonly access to Cloud Security Command Center SHA custom modules. |
|
Security Center Management Viewer( Readonly access to Cloud Security Command Center services and custom modules configuration. |
|
Peran IAM di layanan postur keamanan
Berikut adalah daftar peran dan izin IAM yang tersedia untuk layanan postur keamanan dan infrastruktur sebagai fitur validasi kode. Anda dapat memberikan peran ini di tingkat organisasi, folder, atau project. Perhatikan bahwa peran Admin Postur Keamanan hanya tersedia di tingkat organisasi.
Peran | Izin |
---|---|
Security Posture Admin( Akses penuh ke API layanan Postur Keamanan. |
|
Security Posture Resource Editor( Mengubah dan membaca izin ke resource Posture. |
|
Security Posture Deployer( Mengubah dan membaca izin ke resource Deployment Postur. |
|
Security Posture Resource Viewer( Akses baca saja ke resource Posture. |
|
Security Posture Deployments Viewer( Akses baca saja ke resource Deployment Posture. |
|
Validator Shift-Left Postur Keamanan( Buat akses untuk Laporan, misalnya Laporan Validasi IaC. |
|
Security Posture Viewer( Akses baca saja ke semua resource SecurityPosture Service. |
|
Peran agen layanan
Agen layanan memungkinkan layanan mengakses resource Anda.
Setelah Anda mengaktifkan Security Command Center, dua agen layanan akan dibuat untuk Anda:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
.Agen layanan ini memerlukan peran IAM
roles/securitycenter.serviceAgent
.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
.Agen layanan ini memerlukan peran IAM
roles/containerthreatdetection.serviceAgent
.
Selama proses aktivasi Security Command Center, Anda akan diminta untuk memberikan satu atau beberapa peran IAM yang diperlukan kepada setiap agen layanan. Memberikan peran kepada setiap agen layanan diperlukan agar Security Command Center dapat berfungsi.
Untuk melihat izin setiap peran, lihat hal berikut:
Untuk memberikan peran, Anda harus memiliki peran roles/resourcemanager.organizationAdmin
.
Jika Anda tidak memiliki peran roles/resourcemanager.organizationAdmin
,
administrator organisasi dapat memberikan peran kepada agen layanan
untuk Anda dengan perintah gcloud CLI berikut:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="SERVICE_AGENT_NAME" \ --role="IAM_ROLE"
Ganti kode berikut:
ORGANIZATION_ID
: ID organisasi AndaSERVICE_AGENT_NAME
: nama agen layanan yang Anda beri peran. Nama tersebut adalah salah satu nama agen layanan berikut:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE
: peran yang diperlukan berikut yang sesuai dengan agen layanan yang ditentukan:roles/securitycenter.serviceAgent
roles/containerthreatdetection.serviceAgent
Untuk mengetahui informasi selengkapnya tentang peran IAM, lihat memahami peran.
Web Security Scanner
Peran IAM menentukan cara Anda dapat menggunakan Web Security Scanner. Tabel di bawah menyertakan setiap peran IAM yang tersedia untuk Web Security Scanner dan metode yang tersedia untuk peran tersebut. Berikan peran ini di tingkat project. Agar pengguna dapat membuat dan mengelola pemindaian keamanan, Anda dapat menambahkan pengguna ke project dan memberi mereka izin menggunakan peran.
Web Security Scanner mendukung peran dasar dan peran yang telah ditetapkan yang memberikan akses yang lebih terperinci ke resource Web Security Scanner.
Peran IAM dasar
Berikut ini penjelasan tentang izin Web Security Scanner yang diberikan oleh peran dasar.
Peran | Deskripsi |
---|---|
Pemilik | Akses penuh ke semua resource Web Security Scanner |
Editor | Akses penuh ke semua resource Web Security Scanner |
Pelihat | Tidak ada akses ke Web Security Scanner |
Peran IAM yang telah ditetapkan
Berikut ini penjelasan tentang izin Web Security Scanner yang diberikan oleh peran Web Security Scanner.
Role | Permissions |
---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Untuk mengetahui informasi selengkapnya tentang peran IAM, lihat memahami peran.