Auf dieser Seite wird beschrieben, wie Sie mit Identity and Access Management (IAM) den Zugriff auf Ressourcen bei einer Aktivierung von Security Command Center auf Projektebene steuern. Rufen Sie diese Seite nur auf, wenn Security Command Center für Ihre Organisation nicht aktiviert ist.
Wenn eine der folgenden Bedingungen erfüllt ist, finden Sie weitere Informationen unter IAM für Aktivierungen auf Organisationsebene statt auf dieser Seite:
- Security Command Center wird auf Organisationsebene und nicht auf Projektebene aktiviert.
- Security Command Center Standard ist bereits auf Organisationsebene aktiviert. Darüber hinaus ist Security Command Center Premium für ein oder mehrere Projekte aktiviert.
Security Command Center verwendet IAM-Rollen, damit Sie kontrollieren können, wer was mit Assets, Ergebnissen und Sicherheitsquellen in Ihrer Security Command Center-Umgebung tun kann. Sie weisen Einzelpersonen und Anwendungen Rollen zu und jede Rolle bietet spezifische Berechtigungen.
Berechtigungen
Sie benötigen die beiden folgenden Rollen, um Security Command Center einzurichten oder die Konfiguration Ihres Projekts zu ändern:
- Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin
) - Sicherheitscenter-Administrator (
roles/securitycenter.admin
)
Wenn ein Nutzer keine Bearbeitungsberechtigungen benötigt, sollten Sie ihm Betrachterrollen zuweisen.
Zum Ansehen aller Assets und Ergebnisse in Security Command Center benötigen Nutzer die Rolle „Security Center Admin Viewer“ (roles/securitycenter.adminViewer
). Nutzer, die sich auch die Einstellungen ansehen müssen, benötigen die Rolle „Betrachter von Sicherheitscenter-Einstellungen“ (roles/securitycenter.settingsViewer
).
Obwohl Sie alle diese Rollen auf jeder Ebene der Ressourcenhierarchie festlegen können, empfehlen wir, sie auf Projektebene festzulegen. Diese Vorgehensweise entspricht dem Prinzip der geringsten Berechtigung.
Eine Anleitung zum Verwalten von Rollen und Berechtigungen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Übernommener Zugriff auf Aktivierungen von Security Command Center auf Projektebene
Ein Projekt übernimmt alle Rollenbindungen, die auf der Ebene der Ordner und der Organisation festgelegt wurden, die dieses Projekt enthalten. Wenn ein Hauptkonto beispielsweise die Rolle „Sicherheitscenter-Ergebnisbearbeiter“ (roles/securitycenter.findingsEditor
) auf Organisationsebene hat, hat dieses Hauptkonto diese Rolle auf Projektebene.
Dieses Hauptkonto kann Ergebnisse in allen Projekten dieser Organisation, in denen Security Command Center aktiv ist, ansehen und bearbeiten.
Die folgende Abbildung zeigt eine Security Command Center-Ressourcenhierarchie mit Rollen, die auf Organisationsebene gewährt wurden.
Eine Liste der Hauptkonten mit Zugriff auf Ihr Projekt, einschließlich derer mit übernommenen Berechtigungen, finden Sie unter Aktuellen Zugriff ansehen.
IAM-Rollen im Security Command Center
Die folgende Liste enthält die für Security Command Center verfügbaren IAM-Rollen und die darin enthaltenen Berechtigungen. Security Command Center unterstützt das Gewähren dieser Rollen auf Organisations-, Ordner- oder Projektebene.
Role | Permissions |
---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Dienst-Agent-Rollen
Ein Dienst-Agent ist ein von Google verwaltetes Dienstkonto, mit dem ein Dienst auf Ihre Ressourcen zugreifen kann.
Wenn Sie Security Command Center aktivieren, werden zwei Dienst-Agents, bei denen es sich um eine Art Dienstkonto handelt, für Sie erstellt:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
.Für diesen Dienst-Agent ist die IAM-Rolle
securitycenter.serviceAgent
erforderlich.service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
.Für diesen Dienst-Agent ist die IAM-Rolle
roles/containerthreatdetection.serviceAgent
erforderlich.
Damit Security Command Center funktioniert, müssen den Dienst-Agents die erforderlichen IAM-Rollen gewährt werden. Sie werden während des Aktivierungsprozesses von Security Command Center aufgefordert, die Rollen zuzuweisen.
So rufen Sie die Berechtigungen für die einzelnen Rollen auf:
Zum Zuweisen der Rollen benötigen Sie die Rolle roles/resourcemanager.projectIamAdmin
.
Wenn Sie die Rolle roles/resourcemanager.organizationAdmin
nicht haben, kann Ihr Organisationsadministrator den Dienst-Agents die Rollen über den folgenden gcloud CLI-Befehl für Sie zuweisen:
gcloud organizations add-iam-policy-binding PROJECT_ID \ --member="SERVICE_ACCOUNT_NAME" \ --role="IAM_ROLE"
Ersetzen Sie Folgendes:
PROJECT_ID
: Ihre Projekt-IDSERVICE_AGENT_NAME
: einer der folgenden Dienst-Agent-Namen:service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE
: die folgende erforderliche Rolle, die dem angegebenen Dienst-Agent entspricht:roles/securitycenter.serviceAgent
roles/containerthreatdetection.serviceAgent
Wie Sie Ihre Projekt-ID und Projektnummer finden, erfahren Sie unter Projekte identifizieren.
Weitere Informationen zu IAM-Rollen finden Sie unter Informationen zu Rollen.
Web Security Scanner
In IAM-Rollen ist vorgegeben, wie Sie Web Security Scanner verwenden können. Die folgenden Tabellen enthalten alle IAM-Rollen, die für Web Security Scanner verfügbar sind, sowie die dafür verfügbaren Methoden. Gewähren Sie diese Rollen auf Projektebene. Um Nutzern die Möglichkeit zu geben, Sicherheitsscans zu erstellen und zu verwalten, fügen Sie Ihrem Projekt Nutzer hinzu und erteilen ihnen mithilfe der Rollen Berechtigungen.
Web Security Scanner unterstützt einfache Rollen und vordefinierte Rollen, die einen genaueren Zugriff auf Web Security Scanner-Ressourcen ermöglichen.
Grundlegende IAM-Rollen
Im Folgenden werden die Berechtigungen für Web Security Scanner beschrieben, die mit einfachen Rollen gewährt werden.
Rolle | Beschreibung |
---|---|
Inhaber | Vollständiger Zugriff auf alle Web Security Scanner-Ressourcen |
Editor | Vollständiger Zugriff auf alle Web Security Scanner-Ressourcen |
Betrachter | Kein Zugriff auf Web Security Scanner |
Vordefinierte IAM-Rollen
Im Folgenden werden die Berechtigungen des Web Security Scanners beschrieben, die durch Web Security Scanner-Rollen gewährt werden.
Role | Permissions |
---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Weitere Informationen zu IAM-Rollen finden Sie unter Informationen zu Rollen.