Nesta página, descrevemos como usar o Identity and Access Management (IAM) para controlar o acesso a recursos em uma ativação do Security Command Center no nível da organização. Esta página é relevante para você se uma das seguintes condições se aplicar:
- O Security Command Center está ativado no nível da organização, e não no nível do projeto.
- O Security Command Center Standard já está ativado no nível da organização. Além disso, o Security Command Center Premium está ativado em um ou mais projetos.
Se você ativou o Security Command Center para envolvidos no projeto, e não no nível da organização, consulte IAM para ativações no nível do projeto.
Em uma ativação no nível da organização do Security Command Center, é possível controlar o acesso aos recursos em diferentes níveis da hierarquia de recursos. O Security Command Center usa papéis do IAM para controlar quem pode fazer o que com recursos, descobertas e serviços de segurança no ambiente do Security Command Center. Você concede papéis a indivíduos e aplicativos, e cada papel fornece permissões específicas.
Permissões
Para configurar o Security Command Center ou alterar a configuração da sua organização, você precisa dos dois papéis a seguir no nível da organização:
- Administrador da organização (
roles/resourcemanager.organizationAdmin) - Administrador da Central de segurança (
roles/securitycenter.admin)
Se um usuário não precisar de permissões para edição, considere conceder a ele papéis de leitor.
Para visualizar todos os recursos, descobertas e caminhos de ataque no Security Command Center, os usuários
precisam ter o papel Leitor administrador da Central de segurança (roles/securitycenter.adminViewer)
no nível da organização.
Para visualizar as configurações, os usuários precisam do papel Administrador da Central de segurança (roles/securitycenter.admin) no nível da organização.
Para restringir o acesso a pastas e projetos individuais, não conceda todos os papéis no nível da organização. Em vez disso, conceda os seguintes papéis no nível da pasta ou do projeto:
- Leitor de recursos da Central de segurança (
roles/securitycenter.assetsViewer) - Leitor de descobertas da Central de segurança (
roles/securitycenter.findingsViewer)
Papéis no nível da organização
Quando os papéis do IAM são aplicados no nível da organização, os projetos e as pastas nessa organização herdam as vinculações de papéis.
A figura a seguir ilustra uma hierarquia de recursos típica do Security Command Center com permissões concedidas no nível da organização.
Os papéis do IAM incluem permissões para visualizar, editar, atualizar, criar ou gerenciar recursos. Os papéis concedidos no nível da organização no Security Command Center permitem que os usuários realizem ações prescritas em descobertas, recursos e serviços de segurança em toda a organização. Por exemplo, um usuário com o papel de Editor de descobertas da Central de segurança (roles/securitycenter.findingsEditor) pode visualizar ou editar as descobertas anexadas a qualquer recurso em qualquer projeto ou pasta na organização.
Com essa estrutura, não é necessário conceder papéis aos usuários em cada pasta ou projeto.
Para instruções sobre como gerenciar papéis e permissões, consulte Gerenciar o acesso a projetos, pastas e organizações.
Os papéis no nível da organização não são adequados para todos os casos de uso, especialmente para aplicativos confidenciais ou regimes de conformidade que exigem controles de acesso rigorosos. Para criar políticas de acesso minuciosas, é possível conceder papéis nos níveis da pasta e do projeto.
Papéis no nível da pasta e do projeto
O Security Command Center Premium permite conceder papéis do IAM do Security Command Center para pastas e projetos específicos, criando várias visualizações ou silos na sua organização. Conceda a usuários e grupos diferentes acessos e permissões para edição em pastas e projetos em toda a organização.
O vídeo a seguir descreve como conceder papéis no nível da pasta e do projeto e como gerenciá-los no console do Security Command Center.
Com papéis de pasta e projeto, os usuários com papéis do Security Command Center podem gerenciar recursos e descobertas em projetos ou pastas designados. Por exemplo, um engenheiro de segurança pode ter acesso limitado a pastas e projetos selecionados, enquanto um administrador de segurança pode gerenciar todos os recursos no nível da organização.
Os papéis de pasta e de projeto permitem que as permissões do Security Command Center sejam aplicadas em níveis inferiores da hierarquia de recursos da organização, mas sem alterar a hierarquia. A figura a seguir ilustra um usuário com permissões do Security Command Center para acessar descobertas em um projeto.
Os usuários com papéis no nível da pasta e do projeto veem um subconjunto dos recursos da organização. As ações realizadas são limitadas ao mesmo escopo. Por exemplo, se um usuário tiver permissões em uma pasta, ele poderá acessar recursos em qualquer projeto nessa pasta. As permissões para um projeto fornecem aos usuários acesso a recursos nesse projeto.
Para instruções sobre como gerenciar papéis e permissões, consulte Gerenciar o acesso a projetos, pastas e organizações.
Restrições de papel
Ao conceder papéis do Security Command Center no nível da pasta ou do projeto, os administradores do Security Command Center Premium podem fazer o seguinte:
- limitar a visualização do Security Command Center ou editar permissões para pastas e projetos específicos
- Conceder permissões de visualização e edição para grupos de recursos ou descobertas para usuários ou equipes específicos
- restringir a capacidade de visualizar ou editar detalhes da descoberta, incluindo atualizações para marcações de segurança e estados de descoberta, para indivíduos ou grupos com acesso à descoberta subjacente
- Controlar o acesso às configurações do Security Command Center, que só pode ser visualizado por pessoas com papéis no nível da organização
Funções do Security Command Center
As funções do Security Command Center Premium também são restritas com base nas permissões de visualização e edição.
No console do Google Cloud, o Security Command Center permite que indivíduos sem permissões no nível da organização escolham apenas os recursos a que têm acesso. A seleção atualiza todos os elementos da interface do usuário, incluindo controles de recursos, descobertas e configurações. Os usuários veem claramente os privilégios anexados aos papéis e se podem acessar ou editar as descobertas no escopo atual.
A API Security Command Center e a Google Cloud CLI também restringem funções a pastas e projetos específicos. Se as chamadas para listar ou agrupar recursos e descobertas forem feitas por usuários que tenham papéis de pasta ou projeto, somente descobertas ou recursos nesses escopos serão retornados.
Para ativações no nível da organização do Security Command Center, as chamadas para criar ou atualizar descobertas e encontrar notificações são compatíveis apenas com o escopo da organização. Você precisa de papéis no nível da organização para executar essas tarefas.
Para visualizar os caminhos de ataque gerados por simulações de ataques, as permissões apropriadas precisam ser concedidas no nível da organização e a visualização do console do Google Cloud precisa ser definida para a organização.
Recursos pai para descobertas
Normalmente, uma descoberta é anexada a um recurso, como uma máquina virtual (VM, na sigla em inglês) ou firewall. O Security Command Center anexa as descobertas ao contêiner mais imediato do recurso que gerou a descoberta. Por exemplo, se uma VM gerar uma descoberta, a descoberta será anexada ao projeto que contém a VM. As descobertas que não estão conectadas a um recurso do Google Cloud são anexadas à organização e são visíveis para qualquer pessoa com as permissões do Security Command Center no nível da organização.
Papéis de IAM no Security Command Center
Veja a seguir uma lista de papéis do IAM disponíveis para o Security Command Center e as permissões incluídas neles. O Security Command Center é compatível com a concessão desses papéis no nível da organização, da pasta ou do projeto.
| Role | Permissions |
|---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Reports Viewer Beta( Read access to security center compliance reports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Security Center Management Admin( Full access to manage Cloud Security Command Center services and custom modules configuration. |
|
Security Center Management Custom Modules Editor( Full access to manage Cloud Security Command Center custom modules. |
|
Security Center Management Custom Modules Viewer( Readonly access to Cloud Security Command Center custom modules. |
|
Security Center Management Custom ETD Modules Editor( Full access to manage Cloud Security Command Center ETD custom modules. |
|
Security Center Management ETD Custom Modules Viewer( Readonly access to Cloud Security Command Center ETD custom modules. |
|
Security Center Management Services Editor( Full access to manage Cloud Security Command Center services configuration. |
|
Security Center Management Services Viewer( Readonly access to Cloud Security Command Center services configuration. |
|
Security Center Management Settings Editor( Full access to manage Cloud Security Command Center settings |
|
Security Center Management Settings Viewer( Readonly access to Cloud Security Command Center settings |
|
Security Center Management SHA Custom Modules Editor( Full access to manage Cloud Security Command Center SHA custom modules. |
|
Security Center Management SHA Custom Modules Viewer( Readonly access to Cloud Security Command Center SHA custom modules. |
|
Security Center Management Viewer( Readonly access to Cloud Security Command Center services and custom modules configuration. |
|
Papéis do IAM no serviço de postura de segurança
Confira a seguir uma lista de papéis e permissões do IAM disponíveis para o serviço de postura de segurança e o recurso de validação de infraestrutura como código. É possível conceder esses papéis no nível da organização, da pasta ou do projeto. A função de administrador da postura de segurança só está disponível no nível da organização.
| Papel | Permissões |
|---|---|
Administrador do Security posture( Acesso total às APIs do serviço Security posture. |
|
Editor de recursos do Security posture( Permissões de modificação e leitura no recurso de postura. |
|
Implantador do Security posture( Permissões de modificação e leitura no recurso de implantação de postura. |
|
Leitor de recursos do Security posture( Acesso somente leitura ao recurso de postura. |
|
Leitor de implantações do Security posture( Acesso somente leitura ao recurso de implantação de postura. |
|
Validador Shift-Left do Security Posture( Crie acesso para relatórios, como o Relatório de validação de IaC. |
|
Leitor do Security posture( Acesso somente leitura a todos os recursos do serviço SecurityPosture. |
|
Papéis de agente de serviço
Um agente de serviço permite que um serviço acesse seus recursos.
Depois de ativar o Security Command Center, dois agentes de serviço são criados para você:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.comEste agente de serviço requer a permissão
roles/securitycenter.serviceAgentpapel do IAM.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.comEsse agente de serviço requer o papel do IAM
roles/containerthreatdetection.serviceAgent.
Durante o processo de ativação do Security Command Center, você precisa conceder uma ou mais papéis do IAM para cada agente de serviço. Conceder os papéis a cada agente de serviço é necessário para que o Security Command Center funcione.
Para conferir as permissões de cada função, consulte:
Para conceder os papéis, é preciso ter o roles/resourcemanager.organizationAdmin
de rede.
Se você não tiver o papel roles/resourcemanager.organizationAdmin,
o administrador da organização poderá conceder as funções aos agentes de serviço
para você com o seguinte comando da gcloud CLI:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="SERVICE_AGENT_NAME" \
--role="IAM_ROLE"
Substitua:
ORGANIZATION_ID: o ID da organizaçãoSERVICE_AGENT_NAME: o nome do agente de serviço a quem você está concedendo o papel. O nome é um dos seguintes nomes de agente de serviço:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.comservice-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE: o seguinte papel obrigatório que corresponde ao agente de serviço especificado:roles/securitycenter.serviceAgentroles/containerthreatdetection.serviceAgent
Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.
Web Security Scanner
Os papéis do IAM determinam como usar o Web Security Scanner. As tabelas abaixo incluem cada papel do IAM disponível para o Web Security Scanner e os métodos disponíveis para ele. Conceda esses papéis no nível do projeto. Para oferecer aos usuários a capacidade de criar e gerenciar verificações de segurança, você pode adicionar usuários ao seu projeto e conceder permissões com as funções do IAM.
O Web Security Scanner é compatível com papéis básicos e papéis predefinidos que dão acesso mais granular aos recursos do Web Security Scanner.
Papéis básicos do IAM
Veja a seguir as permissões do Web Security Scanner concedidas por papéis básicos.
| Role | Descrição |
|---|---|
| Proprietário | Acesso completo a todos os recursos do Web Security Scanner |
| Editor | Acesso completo a todos os recursos do Web Security Scanner |
| Leitor | Sem acesso ao Web Security Scanner |
Papéis de IAM predefinidos
Veja a seguir as permissões do Web Security Scanner que são concedidas pelos papéis do Web Security Scanner.
| Role | Permissions |
|---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.