Auf dieser Seite wird beschrieben, wie Sie mithilfe von Identity and Access Management (IAM) den Zugriff auf Ressourcen steuern, wenn das Security Command Center auf Projektebene aktiviert ist. Diese Seite ist nur relevant, wenn Security Command Center für Ihre Organisation nicht aktiviert ist.
Lesen Sie den Hilfeartikel IAM für Aktivierungen auf Organisationsebene, wenn eine der folgenden Bedingungen zutrifft:
- Security Command Center ist auf Organisationsebene und nicht auf Projektebene aktiviert.
- Security Command Center Standard ist bereits auf Organisationsebene aktiviert. Außerdem haben Sie Security Command Center Premium für mindestens ein Projekt aktiviert.
Security Command Center verwendet IAM-Rollen, damit Sie kontrollieren können, wer was mit Assets, Ergebnissen und Sicherheitsquellen in Ihrer Security Command Center-Umgebung tun kann. Sie weisen Einzelpersonen und Anwendungen Rollen zu und jede Rolle bietet spezifische Berechtigungen.
Berechtigungen
Zum Einrichten des Security Command Center oder zum Ändern der Konfiguration Ihres Projekts benötigen Sie die beiden folgenden Rollen:
- Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin
) - Sicherheitscenter-Administrator (
roles/securitycenter.admin
)
Wenn ein Nutzer keine Bearbeitungsberechtigungen benötigt, sollten Sie ihm Betrachterrollen zuweisen.
Zum Aufrufen aller Assets und Ergebnisse im Security Command Center benötigen Nutzer die Rolle „Sicherheitscenter-Admin-Betrachter“ (roles/securitycenter.adminViewer
). Nutzer, die auch Einstellungen aufrufen müssen, benötigen die Rolle „Sicherheitscenter-Einstellungsbetrachter“ (roles/securitycenter.settingsViewer
).
Sie können diese Rollen zwar auf jeder Ebene der Ressourcenhierarchie festlegen, wir empfehlen jedoch, sie auf Projektebene festzulegen. Diese Praxis entspricht dem Prinzip der geringsten Berechtigung.
Eine Anleitung zum Verwalten von Rollen und Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Übernommener Zugriff auf Security Command Center-Aktivierungen auf Projektebene
Ein Projekt übernimmt alle Rollenbindungen, die auf Ebene der Ordner und der Organisation festgelegt sind, die dieses Projekt enthalten. Wenn ein Hauptkonto beispielsweise die Rolle „Bearbeiter von Security Center-Ergebnissen“ (roles/securitycenter.findingsEditor
) auf Organisationsebene hat, hat es dieselbe Rolle auch auf Projektebene.
Dieser Administrator kann Ergebnisse in allen Projekten der Organisation ansehen und bearbeiten, in denen Security Command Center aktiv ist.
Die folgende Abbildung zeigt eine Security Command Center-Ressourcenhierarchie mit auf Organisationsebene gewährten Rollen.
Eine Liste der Hauptkonten mit Zugriff auf Ihr Projekt, einschließlich derjenigen, die übernommene Berechtigungen haben, finden Sie unter Aktuellen Zugriff ansehen.
IAM-Rollen im Security Command Center
Die folgende Liste enthält die für Security Command Center verfügbaren IAM-Rollen und die darin enthaltenen Berechtigungen. Security Command Center unterstützt die Zuweisung dieser Rollen auf Organisations-, Ordner- oder Projektebene.
Role | Permissions |
---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Reports Viewer Beta( Read access to security center compliance reports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Security Center Management Admin( Full access to manage Cloud Security Command Center services and custom modules configuration. |
|
Security Center Management Custom Modules Editor( Full access to manage Cloud Security Command Center custom modules. |
|
Security Center Management Custom Modules Viewer( Readonly access to Cloud Security Command Center custom modules. |
|
Security Center Management Custom ETD Modules Editor( Full access to manage Cloud Security Command Center ETD custom modules. |
|
Security Center Management ETD Custom Modules Viewer( Readonly access to Cloud Security Command Center ETD custom modules. |
|
Security Center Management Services Editor( Full access to manage Cloud Security Command Center services configuration. |
|
Security Center Management Services Viewer( Readonly access to Cloud Security Command Center services configuration. |
|
Security Center Management Settings Editor( Full access to manage Cloud Security Command Center settings |
|
Security Center Management Settings Viewer( Readonly access to Cloud Security Command Center settings |
|
Security Center Management SHA Custom Modules Editor( Full access to manage Cloud Security Command Center SHA custom modules. |
|
Security Center Management SHA Custom Modules Viewer( Readonly access to Cloud Security Command Center SHA custom modules. |
|
Security Center Management Viewer( Readonly access to Cloud Security Command Center services and custom modules configuration. |
|
Dienst-Agent-Rollen
Ein Dienst-Agent ermöglicht einem Dienst den Zugriff auf Ihre Ressourcen.
Nachdem Sie Security Command Center aktiviert haben, werden zwei Dienstmitarbeiter für Sie erstellt. Das sind eine Art Dienstkonto:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
.Für diesen Dienst-Agenten ist die IAM-Rolle
securitycenter.serviceAgent
erforderlich.service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
.Für diesen Dienst-Agenten ist die IAM-Rolle
roles/containerthreatdetection.serviceAgent
erforderlich.
Damit das Security Command Center funktioniert, müssen den Kundenservicemitarbeitern die erforderlichen IAM-Rollen zugewiesen werden. Sie werden während des Aktivierungsvorgangs von Security Command Center aufgefordert, die Rollen zu gewähren.
Informationen zu den Berechtigungen für die einzelnen Rollen finden Sie unter den folgenden Links:
Sie benötigen die Rolle roles/resourcemanager.projectIamAdmin
, um die Rollen zu zuweisen.
Wenn Sie die Rolle roles/resourcemanager.organizationAdmin
nicht haben, kann der Administrator Ihrer Organisation die Rollen den Kundenservicemitarbeitern mit dem folgenden gcloud CLI-Befehl zuweisen:
gcloud organizations add-iam-policy-binding PROJECT_ID \ --member="SERVICE_ACCOUNT_NAME" \ --role="IAM_ROLE"
Ersetzen Sie Folgendes:
PROJECT_ID
: Ihre Projekt-IDSERVICE_AGENT_NAME
: einer der folgenden Dienstmitarbeiternamen:service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE
: Die folgende erforderliche Rolle, die dem angegebenen Dienst-Agenten entspricht:roles/securitycenter.serviceAgent
roles/containerthreatdetection.serviceAgent
Informationen zum Ermitteln der Projekt-ID und der Projektnummer finden Sie unter Projekte identifizieren.
Weitere Informationen zu IAM-Rollen finden Sie unter Informationen zu Rollen.
Web Security Scanner
In IAM-Rollen ist vorgegeben, wie Sie Web Security Scanner verwenden können. Die folgenden Tabellen enthalten alle IAM-Rollen, die für Web Security Scanner verfügbar sind, sowie die dafür verfügbaren Methoden. Gewähren Sie diese Rollen auf Projektebene. Um Nutzern die Möglichkeit zu geben, Sicherheitsscans zu erstellen und zu verwalten, fügen Sie Ihrem Projekt Nutzer hinzu und erteilen ihnen mithilfe der Rollen Berechtigungen.
Web Security Scanner unterstützt einfache Rollen und vordefinierte Rollen, die einen genaueren Zugriff auf Web Security Scanner-Ressourcen ermöglichen.
Grundlegende IAM-Rollen
Im Folgenden werden die Berechtigungen für Web Security Scanner beschrieben, die mit einfachen Rollen gewährt werden.
Rolle | Beschreibung |
---|---|
Inhaber | Vollständiger Zugriff auf alle Web Security Scanner-Ressourcen |
Editor | Vollständiger Zugriff auf alle Web Security Scanner-Ressourcen |
Betrachter | Kein Zugriff auf Web Security Scanner |
Vordefinierte IAM-Rollen
Im Folgenden werden die Berechtigungen des Web Security Scanners beschrieben, die durch Web Security Scanner-Rollen gewährt werden.
Role | Permissions |
---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Weitere Informationen zu IAM-Rollen finden Sie unter Informationen zu Rollen.