Nesta página, descrevemos como usar o Identity and Access Management (IAM) para controle de acesso a recursos em uma ativação do Security Command Center no nível do projeto. Consulte esta página apenas se o Security Command Center não estiver ativado para sua organização.
Consulte IAM para ativações no nível da organização, em vez desta página, se uma das seguintes condições se aplicar:
- O Security Command Center está ativado no nível da organização, e não no nível do projeto.
- O Security Command Center Standard já está ativado no nível da organização. Além disso, o Security Command Center Premium está ativado em um ou mais projetos.
O Security Command Center usa papéis do IAM para controlar quem pode fazer o que com recursos, descobertas e serviços de segurança no ambiente do Security Command Center. Você concede papéis a indivíduos e aplicativos, e cada papel fornece permissões específicas.
Permissões
Para configurar o Security Command Center ou alterar a configuração do seu projeto, você precisa destes dois papéis:
- Administrador de IAM do projeto (
roles/resourcemanager.projectIamAdmin) - Administrador da Central de segurança (
roles/securitycenter.admin)
Se um usuário não precisar de permissões para edição, considere conceder a ele papéis de leitor.
Para consultar todos os recursos e descobertas no Security Command Center, os usuários precisam do papel (roles/securitycenter.adminViewer) de leitor administrador da Central de segurança. Os usuários que também precisam consultar as configurações precisam ter o papel (roles/securitycenter.settingsViewer) de leitor de configurações da Central de segurança.
Embora seja possível definir todos esses papéis em qualquer nível da hierarquia de recursos, recomendamos configurá-los no nível do projeto. Essa prática está de acordo com o princípio do privilégio mínimo.
Para instruções sobre como gerenciar papéis e permissões, consulte Gerenciar o acesso a projetos, pastas e organizações.
Acesso herdado a ativações em nível de projeto do Security Command Center
Um projeto herda todas as vinculações de papéis definidas no nível das pastas
e da organização que contêm o projeto. Por exemplo, se um principal tiver o
papel de editor de descobertas da Central de segurança (roles/securitycenter.findingsEditor) no
nível da organização, ele terá o mesmo papel no nível do projeto.
Esse principal pode ver e editar as descobertas em qualquer um dos projetos da organização em que o Security Command Center está ativo.
A figura a seguir ilustra uma hierarquia de recursos do Security Command Center com papéis concedidos no nível da organização.
Para ver uma lista dos principais que têm acesso ao projeto, incluindo aqueles que têm permissões herdadas, consulte Ver o acesso atual.
Papéis de IAM no Security Command Center
Veja a seguir uma lista de papéis do IAM disponíveis para o Security Command Center e as permissões incluídas neles. O Security Command Center Premium é compatível com a concessão desses papéis no nível da organização, da pasta ou do projeto.
| Role | Permissions |
|---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Reports Viewer Beta( Read access to security center compliance reports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Security Center Management Admin( Full access to manage Cloud Security Command Center services and custom modules configuration. |
|
Security Center Management Custom Modules Editor( Full access to manage Cloud Security Command Center custom modules. |
|
Security Center Management Custom Modules Viewer( Readonly access to Cloud Security Command Center custom modules. |
|
Security Center Management Custom ETD Modules Editor( Full access to manage Cloud Security Command Center ETD custom modules. |
|
Security Center Management ETD Custom Modules Viewer( Readonly access to Cloud Security Command Center ETD custom modules. |
|
Security Center Management Services Editor( Full access to manage Cloud Security Command Center services configuration. |
|
Security Center Management Services Viewer( Readonly access to Cloud Security Command Center services configuration. |
|
Security Center Management Settings Editor( Full access to manage Cloud Security Command Center settings |
|
Security Center Management Settings Viewer( Readonly access to Cloud Security Command Center settings |
|
Security Center Management SHA Custom Modules Editor( Full access to manage Cloud Security Command Center SHA custom modules. |
|
Security Center Management SHA Custom Modules Viewer( Readonly access to Cloud Security Command Center SHA custom modules. |
|
Security Center Management Viewer( Readonly access to Cloud Security Command Center services and custom modules configuration. |
|
Papéis de agente de serviço
Um agente de serviço permite que um serviço acesse seus recursos.
Depois de ativar o Security Command Center, dois agentes de serviço, que são um tipo de conta de serviço, são criados para você:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.comEsse agente de serviço requer o papel do IAM
securitycenter.serviceAgent.service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.comEsse agente de serviço requer o papel do IAM
roles/containerthreatdetection.serviceAgent.
Para que o Security Command Center funcione, os agentes de serviço precisam receber os papéis do IAM necessários. Você vai receber uma solicitação para conceder as funções durante o processo de ativação do Security Command Center.
Para conferir as permissões de cada função, consulte:
Para conceder os papéis, é necessário ter o papel
roles/resourcemanager.projectIamAdmin.
Se você não tiver o papel roles/resourcemanager.organizationAdmin,
o administrador da sua organização poderá conceder as funções aos agentes de serviço
com o seguinte comando da CLI gcloud:
gcloud organizations add-iam-policy-binding PROJECT_ID \
--member="SERVICE_ACCOUNT_NAME" \
--role="IAM_ROLE"
Substitua:
PROJECT_ID: o ID do projetoSERVICE_AGENT_NAME: um dos seguintes nomes de agente de serviço:service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.comservice-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE: o seguinte papel obrigatório que corresponde ao agente de serviço especificado:roles/securitycenter.serviceAgentroles/containerthreatdetection.serviceAgent
Para encontrar o ID e o número do projeto, consulte Identificar projetos.
Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.
Web Security Scanner
Os papéis do IAM determinam como usar o Web Security Scanner. As tabelas abaixo incluem cada papel do IAM disponível para o Web Security Scanner e os métodos disponíveis para ele. Conceda esses papéis no nível do projeto. Para oferecer aos usuários a capacidade de criar e gerenciar verificações de segurança, você pode adicionar usuários ao seu projeto e conceder permissões com as funções do IAM.
O Web Security Scanner é compatível com papéis básicos e papéis predefinidos que dão acesso mais granular aos recursos do Web Security Scanner.
Papéis básicos do IAM
Veja a seguir as permissões do Web Security Scanner concedidas por papéis básicos.
| Role | Descrição |
|---|---|
| Proprietário | Acesso completo a todos os recursos do Web Security Scanner |
| Editor | Acesso completo a todos os recursos do Web Security Scanner |
| Leitor | Sem acesso ao Web Security Scanner |
Papéis de IAM predefinidos
Veja a seguir as permissões do Web Security Scanner que são concedidas pelos papéis do Web Security Scanner.
| Role | Permissions |
|---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.