In questa pagina viene descritto come utilizzare Identity and Access Management (IAM) per controllare l'accesso a di risorse in un'attivazione a livello di organizzazione Security Command Center. Questa pagina è pertinente per te nei seguenti casi:
- Security Command Center viene attivato a livello di organizzazione e non a livello a livello di progetto.
- Security Command Center Standard è già attivato a livello di organizzazione. Inoltre, hai attivato Security Command Center Premium su uno o più in modo programmatico a gestire i progetti.
Se hai attivato Security Command Center a livello di progetto e non a livello di organizzazione: consulta IAM per le impostazioni a livello di progetto attivazioni.
In un'attivazione a livello di organizzazione di Security Command Center, puoi controllare l'accesso alle risorse a diversi livelli la tua gerarchia delle risorse. Security Command Center utilizza i ruoli IAM per puoi controllare chi può fare cosa con gli asset, i risultati e le origini di sicurezza Ambiente Security Command Center. Puoi assegnare ruoli a singoli utenti e applicazioni, e ogni ruolo fornisce autorizzazioni specifiche.
Autorizzazioni
Per configurare Security Command Center o modificare la configurazione della tua organizzazione: Devi disporre di entrambi i ruoli seguenti a livello di organizzazione:
- Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin
) - Amministratore Centro sicurezza (
roles/securitycenter.admin
)
Se un utente non richiede autorizzazioni di modifica, valuta la possibilità di concedergli l'autorizzazione di visualizzazione ruoli.
Per visualizzare tutti gli asset, i risultati e i percorsi di attacco in Security Command Center, gli utenti devono disporre del ruolo Visualizzatore amministratore del Centro sicurezza (roles/securitycenter.adminViewer
) a livello di organizzazione.
Per visualizzare le impostazioni, gli utenti devono disporre dell'amministratore del Centro sicurezza
(roles/securitycenter.admin
) a livello di organizzazione.
Per limitare l'accesso a singoli progetti e cartelle, non concedere tutti i ruoli in a livello di organizzazione. Concedi invece i seguenti ruoli nella cartella o a livello di progetto:
- Security Center Assets Viewer (
roles/securitycenter.assetsViewer
) - Visualizzatore risultati Centro sicurezza (
roles/securitycenter.findingsViewer
)
Ruoli a livello di organizzazione
Quando i ruoli IAM vengono applicati a livello di organizzazione, e le cartelle al suo interno ereditano le associazioni di ruoli.
La figura seguente illustra una tipica gerarchia di risorse di Security Command Center con ruoli concessi a livello di organizzazione.
I ruoli IAM includono le autorizzazioni per visualizzare, modificare, aggiornare, creare
ed eliminare le risorse. Ruoli concessi a livello di organizzazione in Security Command Center
consente di eseguire azioni prescritte su risultati, asset e fonti di sicurezza
all'interno dell'organizzazione. Ad esempio, un utente a cui è stato concesso il ruolo Editor di risultati del Centro sicurezza (roles/securitycenter.findingsEditor
) può visualizzare o modificare i risultati associati a qualsiasi risorsa in qualsiasi progetto o cartella della tua organizzazione.
Con questa struttura, non è necessario concedere agli utenti ruoli in ogni cartella o
progetto.
Per istruzioni sulla gestione dei ruoli e delle autorizzazioni, vedi Gestire l'accesso a progetti, cartelle e organizzazioni.
I ruoli a livello di organizzazione non sono adatti a tutti i casi d'uso, in particolare per applicazioni sensibili o standard di conformità che richiedono accesso rigoroso i controlli di sicurezza. Per creare criteri di accesso granulari, puoi concedere ruoli a livello di cartella e progetto.
Ruoli a livello di cartella e di progetto
Security Command Center ti consente di concedere Ruoli IAM di Security Command Center per cartelle e progetti specifici, creando più viste o silos, all'interno dell'organizzazione. Concedi a utenti e gruppi autorizzazioni di accesso e modifica diverse per cartelle e progetti della tua organizzazione.
Il seguente video descrive come concedere i ruoli a livello di cartella e di progetto e su come gestirle nella console di Security Command Center.
Con i ruoli cartella e progetto, gli utenti con ruoli di Security Command Center hanno il possibilità di gestire asset e risultati all'interno di progetti o cartelle designati. Ad esempio, a un esperto di sicurezza può essere concesso l'accesso limitato a determinate cartelle e progetti, mentre un amministratore della sicurezza può gestire tutte le risorse a livello di organizzazione.
I ruoli di cartella e progetto consentono di applicare le autorizzazioni di Security Command Center ai livelli inferiori della gerarchia delle risorse dell'organizzazione, ma non nella gerarchia. La figura seguente illustra un utente con Security Command Center autorizzazioni per accedere ai risultati in un progetto specifico.
Gli utenti con ruoli per cartelle e progetto vedono un sottoinsieme delle risorse di un'organizzazione. Tutte le azioni che intraprendono sono limitate allo stesso ambito. Ad esempio, se un utente ha autorizzazioni per una cartella, possono accedere alle risorse di qualsiasi progetto . Le autorizzazioni per un progetto consentono agli utenti di accedere alle risorse in progetto.
Per istruzioni sulla gestione dei ruoli e delle autorizzazioni, vedi Gestire l'accesso a progetti, cartelle e organizzazioni.
Restrizioni dei ruoli
Se concedi i ruoli di Security Command Center a livello di cartella o progetto, gli amministratori di Security Command Center possono:
- Limita la visualizzazione o la modifica di Security Command Center a cartelle specifiche e progetti
- Concedere autorizzazioni di visualizzazione e modifica per gruppi di asset o risultati a specifici utenti o team
- Limitare la possibilità di visualizzare o modificare i dettagli della segnalazione, inclusi gli aggiornamenti ai segni di sicurezza e allo stato della segnalazione, a persone o gruppi con accesso alla segnalazione sottostante
- Controlla l'accesso alle impostazioni di Security Command Center, che possono essere visualizzate solo da persone con ruoli a livello di organizzazione
Funzioni di Security Command Center
Le funzioni di Security Command Center sono limitate anche in base alla visualizzazione e alla modifica autorizzazioni aggiuntive.
Nella console Google Cloud, Security Command Center consente gli utenti senza livello di organizzazione autorizzazioni scelgono solo le risorse a cui hanno accesso. La loro selezione aggiorna tutti gli elementi dell'interfaccia utente, inclusi asset, risultati e controlli delle impostazioni. Gli utenti vedono i privilegi associati ai loro ruoli e se a cui possono accedere o modificare i risultati nell'ambito attuale.
Anche l'API Security Command Center e Google Cloud CLI limitano alle cartelle e ai progetti predefiniti. Se le chiamate per elencare o raggruppare gli asset e i risultati vengono creati dagli utenti a cui sono stati assegnati ruoli di cartella o progetto, solo i risultati vengono restituiti gli asset in tali ambiti.
Per le attivazioni a livello di organizzazione di Security Command Center, chiamate per creare i risultati di aggiornamento e le notifiche dei risultati supportano solo l'ambito dell'organizzazione. Per eseguire queste attività devi avere dei ruoli a livello di organizzazione.
Per visualizzare i percorsi di attacco generati dalle simulazioni dei percorsi di attacco, le autorizzazioni appropriate devono essere concesse a livello di organizzazione e la visualizzazione della console Google Cloud deve essere impostata sull'organizzazione.
Risorse padre per i risultati
In genere, un rilevamento è associato a una risorsa, come una macchina virtuale (VM) o un firewall. Security Command Center collega i risultati alle query container per la risorsa che ha generato il risultato. Ad esempio, se una VM genera un risultato, quest'ultimo è collegato al progetto che contiene VM. I risultati non collegati a una risorsa Google Cloud sono associati all'organizzazione e sono visibili a chiunque disponga delle autorizzazioni di Security Command Center a livello di organizzazione.
Ruoli IAM in Security Command Center
Di seguito è riportato un elenco dei ruoli IAM disponibili per Security Command Center e le autorizzazioni incluse. Security Command Center supporta la concessione di questi ruoli a livello di organizzazione, cartella o progetto.
Role | Permissions |
---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Reports Viewer Beta( Read access to security center compliance reports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Security Center Management Admin( Full access to manage Cloud Security Command Center services and custom modules configuration. |
|
Security Center Management Custom Modules Editor( Full access to manage Cloud Security Command Center custom modules. |
|
Security Center Management Custom Modules Viewer( Readonly access to Cloud Security Command Center custom modules. |
|
Security Center Management Custom ETD Modules Editor( Full access to manage Cloud Security Command Center ETD custom modules. |
|
Security Center Management ETD Custom Modules Viewer( Readonly access to Cloud Security Command Center ETD custom modules. |
|
Security Center Management Services Editor( Full access to manage Cloud Security Command Center services configuration. |
|
Security Center Management Services Viewer( Readonly access to Cloud Security Command Center services configuration. |
|
Security Center Management Settings Editor( Full access to manage Cloud Security Command Center settings |
|
Security Center Management Settings Viewer( Readonly access to Cloud Security Command Center settings |
|
Security Center Management SHA Custom Modules Editor( Full access to manage Cloud Security Command Center SHA custom modules. |
|
Security Center Management SHA Custom Modules Viewer( Readonly access to Cloud Security Command Center SHA custom modules. |
|
Security Center Management Viewer( Readonly access to Cloud Security Command Center services and custom modules configuration. |
|
Ruoli IAM nel servizio Security posture
Di seguito è riportato un elenco dei ruoli e delle autorizzazioni IAM disponibili per il servizio di analisi della postura di sicurezza e la funzionalità di convalida dell'infrastruttura come codice. Puoi concedere questi ruoli a livello di organizzazione, cartella o progetto. Tieni presente che il ruolo Amministratore Security posture è disponibile solo nell'organizzazione livello.
Ruolo | Autorizzazioni |
---|---|
Security Posture Admin( Accesso completo alle API di servizio Security Posture. |
|
Security Posture Resource Editor( Autorizzazioni di modifica e lettura per la risorsa Posture. |
|
Security Posture Deployer( Autorizzazioni di modifica e lettura per la risorsa Deployment Posture. |
|
Security Posture Resource Viewer( Accesso in sola lettura alla risorsa Posture. |
|
Security Posture Deployments Viewer( Accesso in sola lettura alla risorsa Deployment Posture. |
|
Security Posture Shift-Left Validator( Crea l'accesso ai report, ad esempio il report di convalida IaC. |
|
Security Posture Viewer( Accesso in sola lettura a tutte le risorse del servizio SecurityPosture. |
|
Ruoli agente di servizio
Un agente di servizio consente a un servizio di accedere alle tue risorse.
Dopo aver attivato Security Command Center, vengono creati due agenti di servizio per te:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
.Questo agente di servizio richiede l'
roles/securitycenter.serviceAgent
ruolo IAM.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
.Questo agente di servizio richiede l'
roles/containerthreatdetection.serviceAgent
ruolo IAM.
Durante la procedura di attivazione di Security Command Center, ti viene chiesto di concedere uno o più ruoli IAM obbligatori a ciascun agente di servizio. La concessione dei ruoli a ogni agente di servizio è necessaria per il funzionamento di Security Command Center.
Per visualizzare le autorizzazioni per ogni ruolo, consulta quanto segue:
Per concedere i ruoli, devi disporre del roles/resourcemanager.organizationAdmin
ruolo.
Se non disponi del ruolo roles/resourcemanager.organizationAdmin
,
l'amministratore dell'organizzazione può concedere i ruoli agli agenti di servizio per tuo conto con il seguente comando gcloud CLI:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="SERVICE_AGENT_NAME" \ --role="IAM_ROLE"
Sostituisci quanto segue:
ORGANIZATION_ID
: l'ID della tua organizzazioneSERVICE_AGENT_NAME
: il nome dell'agente di servizio a cui stai concedendo il ruolo. Il nome è uno dei seguenti Nomi degli agenti di servizio:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE
: il seguente ruolo obbligatorio corrispondente all'agente di servizio specificato:roles/securitycenter.serviceAgent
roles/containerthreatdetection.serviceAgent
Per ulteriori informazioni sui ruoli IAM, consulta la sezione Informazioni sui ruoli.
Web Security Scanner
I ruoli IAM stabiliscono come puoi utilizzare Web Security Scanner. Le tabelle di seguito includono ogni ruolo IAM disponibile per Web Security Scanner e sui metodi a loro disposizione. Assegna questi ruoli a livello di progetto. Per offrire agli utenti la possibilità di creare e gestire le scansioni di sicurezza, li aggiungi a il tuo progetto e concedere loro le autorizzazioni usando i ruoli.
Web Security Scanner supporta ruoli di base e ruoli predefiniti che offrono un accesso più granulare alle risorse di Web Security Scanner.
Ruoli IAM di base
Di seguito sono descritte le autorizzazioni di Web Security Scanner concesse dai ruoli di base.
Ruolo | Descrizione |
---|---|
Proprietario | Ha accesso completo a tutte le risorse di Web Security Scanner |
Editor | Ha accesso completo a tutte le risorse di Web Security Scanner |
Visualizzatore | Nessun accesso a Web Security Scanner |
Ruoli IAM predefiniti
Di seguito vengono descritte le autorizzazioni di Web Security Scanner concesse in base ai ruoli di Web Security Scanner.
Role | Permissions |
---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Per ulteriori informazioni sui ruoli IAM, consulta la comprensione dei ruoli.