En esta página, se describe cómo usar Identity and Access Management (IAM) para controlar el acceso a recursos en una activación a nivel de proyecto de Security Command Center. Consulta esta página solo si Security Command Center no está activado para tu para que se adapten a las necesidades de tu organización.
Consulta IAM para el nivel de organización activas, en lugar de esta si se cumple alguna de las siguientes condiciones:
- Security Command Center se activa a nivel de la organización y no a nivel a nivel de proyecto.
- Security Command Center Standard ya se activó a nivel de la organización. Además, tienes Security Command Center Premium activado en uno o más proyectos.
Security Command Center usa funciones de IAM para permitirte controlar quién puede hacer qué con los elementos, los hallazgos y las fuentes de seguridad del entorno de Security Command Center. Las funciones se otorgan a personas y aplicaciones, y cada una proporciona permisos específicos.
Permisos
Para configurar Security Command Center o cambiar la configuración de tu proyecto, necesitas los dos roles siguientes:
- Administrador del proyecto de IAM (
roles/resourcemanager.projectIamAdmin) - Administrador del centro de seguridad (
roles/securitycenter.admin)
Si un usuario no necesita permisos de edición, considera otorgarle roles de visualizador.
Para ver todos los recursos y resultados en Security Command Center, los usuarios necesitan el panel
administrador del centro de seguridad (roles/securitycenter.adminViewer). Los usuarios que también
necesito ver la configuración, necesitas el visualizador de configuración del centro de seguridad
(roles/securitycenter.settingsViewer).
Aunque puedes configurar todos estos roles en cualquier nivel de la jerarquía de recursos, se recomienda establecer estos roles a nivel de proyecto. Esta práctica está en de acuerdo con el principio de privilegio mínimo.
Si deseas obtener instrucciones para administrar funciones y permisos, consulta Administra accesos a proyectos, carpetas y organizaciones.
Acceso heredado a activaciones a nivel de proyecto de Security Command Center
Un proyecto hereda las vinculaciones de roles que se establecen al nivel de las carpetas
y la organización que contienen ese proyecto. Por ejemplo, si una principal tiene la
Rol de editor de hallazgos del centro de seguridad (roles/securitycenter.findingsEditor) en
a nivel de la organización, la principal tiene el mismo rol a nivel de proyecto.
La principal puede ver y editar los resultados de cualquiera de los proyectos de esa organización.
donde está activo Security Command Center.
En la siguiente figura, se ilustra una jerarquía de recursos de Security Command Center con roles otorgados a nivel de la organización.
Para ver una lista de las principales que tienen acceso a tu proyecto, incluidas aquellas que tengan permisos heredados, consulta Ver acceso.
Funciones de IAM en Security Command Center
A continuación, se muestra una lista de las funciones de IAM disponibles para Security Command Center y los permisos incluidos en ellas. Security Command Center permite otorgar estos roles a nivel de organización, carpeta a nivel de proyecto.
| Role | Permissions |
|---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Security Center Management Admin( Full access to manage Cloud Security Command Center services and custom modules configuration. |
|
Security Center Management Custom Modules Editor( Full access to manage Cloud Security Command Center custom modules. |
|
Security Center Management Custom Modules Viewer( Readonly access to Cloud Security Command Center custom modules. |
|
Security Center Management Custom ETD Modules Editor( Full access to manage Cloud Security Command Center ETD custom modules. |
|
Security Center Management ETD Custom Modules Viewer( Readonly access to Cloud Security Command Center ETD custom modules. |
|
Security Center Management Services Editor( Full access to manage Cloud Security Command Center services configuration. |
|
Security Center Management Services Viewer( Readonly access to Cloud Security Command Center services configuration. |
|
Security Center Management Settings Editor( Full access to manage Cloud Security Command Center settings |
|
Security Center Management Settings Viewer( Readonly access to Cloud Security Command Center settings |
|
Security Center Management SHA Custom Modules Editor( Full access to manage Cloud Security Command Center SHA custom modules. |
|
Security Center Management SHA Custom Modules Viewer( Readonly access to Cloud Security Command Center SHA custom modules. |
|
Security Center Management Viewer( Readonly access to Cloud Security Command Center services and custom modules configuration. |
|
Funciones del Agente de servicio
Un agente de servicio permite que un servicio acceda a tus recursos.
Después de activar Security Command Center, se crean dos agentes de servicio, que son un tipo de de Compute Engine, se crean para ti:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.comEste agente de servicio requiere la
securitycenter.serviceAgentde IAM.service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.comEste agente de servicio requiere la
roles/containerthreatdetection.serviceAgentde IAM.
Para que Security Command Center funcione, los agentes de servicio deben tener el roles de IAM necesarios. Se te pedirá que otorgues los roles durante el proceso de activación de Security Command Center.
Para ver los permisos de cada función, consulta lo siguiente:
Para otorgar los roles, debes tener el roles/resourcemanager.projectIamAdmin
en el área de la seguridad en la nube.
Si no tienes el rol roles/resourcemanager.organizationAdmin,
el administrador de tu organización
puede otorgar los roles a los agentes de servicio por ti
con el siguiente comando de gcloud CLI:
gcloud organizations add-iam-policy-binding PROJECT_ID \
--member="SERVICE_ACCOUNT_NAME" \
--role="IAM_ROLE"
Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto.SERVICE_AGENT_NAME: Cualquiera de las siguientes Nombres de agente de servicio:service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.comservice-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE: Es la siguiente función obligatoria que corresponde al agente de servicio especificado:roles/securitycenter.serviceAgentroles/containerthreatdetection.serviceAgent
Para encontrar el ID y el número del proyecto, consulta Cómo identificar proyectos.
Para obtener más información sobre las funciones de IAM, consulta Comprende las funciones.
Web Security Scanner
Las funciones de IAM prescriben cómo puedes usar Web Security Scanner. En las tablas siguientes, se incluye cada función de IAM disponible para Web Security Scanner y los métodos disponibles para ellos. Otorga estas funciones a nivel de proyecto. Para dar a los usuarios la capacidad de crear y administrar análisis de seguridad, puedes agregar usuarios a tu proyecto y otorgarles permisos mediante funciones.
Web Security Scanner admite funciones básicas y funciones predefinidas que brindan un acceso más detallado a los recursos de Web Security Scanner.
Funciones de IAM básicas
A continuación, se describen los permisos de Web Security Scanner que otorgan las funciones básicas.
| Función | Descripción |
|---|---|
| Propietario | Acceso completo a todos los recursos de Web Security Scanner |
| Editor | Acceso completo a todos los recursos de Web Security Scanner |
| Lector | Sin acceso a Web Security Scanner |
Funciones predefinidas de IAM
A continuación, se describen los permisos de Web Security Scanner que otorgan las funciones de Web Security Scanner.
| Role | Permissions |
|---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Para obtener más información sobre las funciones de IAM, consulta Comprende las funciones.