In questa pagina viene descritto come utilizzare Identity and Access Management (IAM) per controllare l'accesso alle risorse in un'attivazione a livello di progetto di Security Command Center. Fai riferimento a questa pagina solo se Security Command Center non è attivato per la tua organizzazione.
Consulta IAM per le attivazioni a livello di organizzazione, anziché questa pagina, se si applica una delle seguenti condizioni:
- Security Command Center viene attivato a livello di organizzazione e non a livello di progetto.
- Security Command Center Standard è già attivato a livello di organizzazione. Inoltre, Security Command Center Premium è attivato in uno o più progetti.
Security Command Center utilizza i ruoli IAM per consentirti di controllare chi può intervenire con asset, risultati e origini di sicurezza nel tuo ambiente Security Command Center. Puoi assegnare ruoli a singoli utenti e applicazioni e ogni ruolo fornisce autorizzazioni specifiche.
Autorizzazioni
Per configurare Security Command Center o modificare la configurazione del progetto, devi disporre di entrambi i seguenti ruoli:
- Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin
) - Amministratore Centro sicurezza (
roles/securitycenter.admin
)
Se un utente non richiede autorizzazioni di modifica, valuta la possibilità di concedergli i ruoli di visualizzatore.
Per visualizzare tutti gli asset e i risultati in Security Command Center, gli utenti devono disporre del ruolo Visualizzatore amministratore Security Center (roles/securitycenter.adminViewer
). Gli utenti che devono anche visualizzare le impostazioni devono avere il ruolo Visualizzatore impostazioni Centro sicurezza (roles/securitycenter.settingsViewer
).
Sebbene sia possibile impostare tutti questi ruoli a qualsiasi livello della gerarchia delle risorse, consigliamo di impostarli a livello di progetto. Questa prassi è in linea con il principio del privilegio minimo.
Per istruzioni sulla gestione dei ruoli e delle autorizzazioni, vedi Gestire l'accesso a progetti, cartelle e organizzazioni.
Accesso ereditato alle attivazioni a livello di progetto di Security Command Center
Un progetto eredita tutte le associazioni di ruoli impostate a livello di cartelle e organizzazione che contengono il progetto. Ad esempio, se un'entità ha il ruolo Editor dei risultati del Centro sicurezza (roles/securitycenter.findingsEditor
) a livello di organizzazione, avrà lo stesso ruolo a livello di progetto.
L'entità può visualizzare e modificare i risultati in qualsiasi progetto dell'organizzazione in cui è attivo Security Command Center.
La figura seguente illustra una gerarchia di risorse di Security Command Center con ruoli concessi a livello di organizzazione.
Per visualizzare un elenco delle entità che hanno accesso al tuo progetto, incluse quelle che hanno ereditato le autorizzazioni, vedi Visualizzare l'accesso attuale.
Ruoli IAM in Security Command Center
Di seguito è riportato un elenco dei ruoli IAM disponibili per Security Command Center e le autorizzazioni incluse. Security Command Center supporta la concessione di questi ruoli a livello di organizzazione, cartella o progetto.
Role | Permissions |
---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Security Center Management Admin( Full access to manage Cloud Security Command Center services and custom modules configuration. |
|
Security Center Management Custom Modules Editor( Full access to manage Cloud Security Command Center custom modules. |
|
Security Center Management Custom Modules Viewer( Readonly access to Cloud Security Command Center custom modules. |
|
Security Center Management Custom ETD Modules Editor( Full access to manage Cloud Security Command Center ETD custom modules. |
|
Security Center Management ETD Custom Modules Viewer( Readonly access to Cloud Security Command Center ETD custom modules. |
|
Security Center Management Services Editor( Full access to manage Cloud Security Command Center services configuration. |
|
Security Center Management Services Viewer( Readonly access to Cloud Security Command Center services configuration. |
|
Security Center Management Settings Editor( Full access to manage Cloud Security Command Center settings |
|
Security Center Management Settings Viewer( Readonly access to Cloud Security Command Center settings |
|
Security Center Management SHA Custom Modules Editor( Full access to manage Cloud Security Command Center SHA custom modules. |
|
Security Center Management SHA Custom Modules Viewer( Readonly access to Cloud Security Command Center SHA custom modules. |
|
Security Center Management Viewer( Readonly access to Cloud Security Command Center services and custom modules configuration. |
|
Ruoli agente di servizio
Un agente di servizio consente a un servizio di accedere alle tue risorse.
Dopo aver attivato Security Command Center, vengono creati automaticamente due agenti di servizio, che sono un tipo di account di servizio:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
.Questo agente di servizio richiede il ruolo IAM
securitycenter.serviceAgent
.service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
.Questo agente di servizio richiede il ruolo IAM
roles/containerthreatdetection.serviceAgent
.
Affinché Security Command Center funzioni, agli agenti di servizio devono essere concessi i ruoli IAM richiesti. Ti viene chiesto di concedere i ruoli durante il processo di attivazione di Security Command Center.
Per visualizzare le autorizzazioni per ogni ruolo, consulta quanto segue:
Per concedere i ruoli, devi disporre del ruolo roles/resourcemanager.projectIamAdmin
.
Se non hai il ruolo roles/resourcemanager.organizationAdmin
, l'amministratore della tua organizzazione può concedere i ruoli agli agenti di servizio per tuo conto con il seguente comando gcloud CLI:
gcloud organizations add-iam-policy-binding PROJECT_ID \ --member="SERVICE_ACCOUNT_NAME" \ --role="IAM_ROLE"
Sostituisci quanto segue:
PROJECT_ID
: il tuo ID progettoSERVICE_AGENT_NAME
: uno dei seguenti nomi di agente di servizio:service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE
: il seguente ruolo obbligatorio corrispondente all'agente di servizio specificato:roles/securitycenter.serviceAgent
roles/containerthreatdetection.serviceAgent
Per trovare l'ID e il numero del progetto, consulta Identificare i progetti.
Per ulteriori informazioni sui ruoli IAM, consulta la pagina Informazioni sui ruoli.
Web Security Scanner
I ruoli IAM descrivono come è possibile utilizzare Web Security Scanner. Le tabelle seguenti includono ciascun ruolo IAM disponibile per Web Security Scanner e i metodi disponibili. Concedi questi ruoli a livello di progetto. Per consentire agli utenti di creare e gestire le scansioni di sicurezza, aggiungi gli utenti al progetto e concedi loro le autorizzazioni utilizzando i ruoli.
Web Security Scanner supporta ruoli di base e ruoli predefiniti che offrono un accesso più granulare alle risorse di Web Security Scanner.
Ruoli IAM di base
Di seguito vengono descritte le autorizzazioni di Web Security Scanner concesse dai ruoli di base.
Ruolo | Descrizione |
---|---|
Owner | Ha accesso completo a tutte le risorse di Web Security Scanner |
Editor | Ha accesso completo a tutte le risorse di Web Security Scanner |
Viewer | Nessun accesso a Web Security Scanner |
Ruoli IAM predefiniti
Di seguito vengono descritte le autorizzazioni di Web Security Scanner concesse dai ruoli di Web Security Scanner.
Role | Permissions |
---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Per ulteriori informazioni sui ruoli IAM, consulta la pagina Informazioni sui ruoli.