Control de acceso

En esta página, se describe cómo Security Command Center usa la administración de identidades y accesos (IAM) para controlar el acceso a los recursos en diferentes niveles de la jerarquía de recursos.

Security Command Center usa funciones de IAM para permitirte controlar quién puede hacer qué con los elementos, los hallazgos y las fuentes de seguridad del entorno de Security Command Center. Las funciones se otorgan a personas y aplicaciones, y cada una proporciona permisos específicos.

Security Command Center Premium permite otorgar funciones de IAM a nivel de organización, carpeta y proyecto. La versión estándar de Security Command Center solo admite la asignación de funciones a nivel de organización.

Permisos

Para configurar Security Command Center o cambiar la configuración de tu organización, necesitas las siguientes dos funciones a nivel de la organización:

  • Administrador de la organización (roles/resourcemanager.organizationAdmin)
  • Administrador del centro de seguridad (roles/securitycenter.admin)

Si un usuario no requiere permisos de edición, considera otorgarle funciones de visualizador. Para ver todos los recursos, resultados y opciones de configuración en Security Command Center, los usuarios necesitan la función Visualizador administrador del centro de seguridad (roles/securitycenter.adminViewer ) en el nivel de organización.

Para restringir el acceso a las carpetas y los proyectos individuales, no otorgues todas las funciones a nivel de la organización. En su lugar, otorga las siguientes funciones a nivel de carpeta o proyecto:

  • Visualizador de recursos del centro de seguridad (roles/securitycenter.assetsViewer)
  • Visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer)

Funciones a nivel de la organización

Cuando las funciones de IAM se aplican a nivel de organización, los proyectos y las carpetas dentro de una organización heredan sus funciones y permisos.

En la siguiente figura, se ilustra una jerarquía de recursos típica de Security Command Center con las funciones otorgadas a nivel de organización.

Estructura de permisos y jerarquía de recursos de Security Command Center
Security Command Center Resource y funciones a nivel de la organización (haz clic para ampliar)

Las funciones de IAM incluyen permisos para ver, editar, actualizar, crear o borrar recursos. Las funciones otorgadas a nivel de organización en Security Command Center te permiten realizar acciones prescritas en resultados, elementos y fuentes de seguridad en tu organización. Por ejemplo, un usuario con la función Editor de hallazgos del centro de seguridad (roles/securitycenter.findingsEditor) puede ver o editar los resultados adjuntos a cualquier recurso en cualquier proyecto o carpeta de tu organización. Con esta estructura, no tienes que otorgar funciones de usuarios en cada carpeta o proyecto.

Si deseas obtener instrucciones para administrar funciones y permisos, consulta Administra accesos a proyectos, carpetas y organizaciones.

Las funciones a nivel de organización no son adecuadas para todos los casos de uso, en especial para aplicaciones sensibles o estándares de cumplimiento que requieren controles de acceso estrictos. Para crear políticas de acceso detalladas, Security Command Center Premium te permite otorgar funciones a nivel de carpeta y de proyecto.

Funciones de carpeta y de proyecto

Security Command Center Premium te permite otorgar funciones de IAM de Security Command Center para carpetas y proyectos específicos, lo que crea varias vistas o entornos aislados dentro de la organización. Otorgas a usuarios y grupos diferentes permisos de acceso y edición a carpetas y proyectos en toda tu organización.

En el siguiente video, se describe la compatibilidad de Security Command Center Premium para las funciones a nivel de carpeta y de proyecto, y cómo administrarlas en el panel.

Con las funciones de carpeta y proyecto, los usuarios con funciones de Security Command Center tienen la capacidad de administrar recursos y resultados dentro de proyectos o carpetas designados. Por ejemplo, se puede otorgar acceso limitado a un ingeniero de seguridad para que seleccione carpetas y proyectos, mientras que un administrador de seguridad puede administrar todos los recursos a nivel de la organización.

Las funciones de carpeta y proyecto permiten que se apliquen los permisos de Security Command Center en los niveles inferiores de la jerarquía de recursos de la organización, pero no la cambian. En la siguiente figura, se ilustra a un usuario con permisos de Security Command Center para acceder a los resultados de un proyecto específico.

Estructura de permisos y jerarquía de recursos de Security Command Center
Funciones de jerarquía de recursos de Security Command Center y a nivel de proyecto: no se puede acceder a los elementos con guiones (haz clic para ampliar)

Los usuarios con funciones de carpetas y proyectos ven un subconjunto de los recursos de una organización. Todas las acciones que realizan se limitan al mismo permiso. Por ejemplo, si un usuario tiene permisos para una carpeta, puede acceder a los recursos en cualquier proyecto en la carpeta. Los permisos de un proyecto permiten a los usuarios acceder a los recursos de ese proyecto.

Si deseas obtener instrucciones para administrar funciones y permisos, consulta Administra accesos a proyectos, carpetas y organizaciones.

Restricciones de funciones

Cuando se otorgan funciones de Security Command Center a nivel de carpeta o de proyecto, los administradores de Security Command Center Premium pueden hacer lo siguiente:

  • Limitar la vista o los permisos de edición de Security Command Center a carpetas y proyectos específicos
  • Otorgar permisos de lectura y edición a grupos de elementos o hallazgos para equipos o usuarios específicos.
  • Restringir la capacidad de ver o editar los detalles de los resultados, incluidas las actualizaciones de las marcas de seguridad y el estado de los resultados, a personas o grupos con acceso al resultado subyacente
  • Controlar el acceso a la configuración de Security Command Center, que solo pueden ver las personas con funciones a nivel de la organización

Funciones de Security Command Center

Las funciones Premium de Security Command Center también están restringidas según los permisos de lectura y edición.

El panel de Security Command Center permite que las personas sin permisos a nivel de la organización elijan los recursos a los que tienen acceso. Su selección actualiza todos los elementos de la interfaz de usuario, incluidos los recursos, resultados y controles de configuración. Los usuarios ven los privilegios adjuntos a sus funciones y si pueden acceder o editar los resultados en su alcance actual.

La API de Security Command Center y la herramienta de línea de comandos de gcloud también restringen las funciones a las carpetas y los proyectos prescritos. Si las llamadas para enumerar o agrupar los elementos y resultados provienen de usuarios con funciones de carpeta o proyecto, solo se muestran los hallazgos o recursos en esos permisos.

Las llamadas para crear o actualizar los hallazgos y buscar notificaciones solo admiten el permiso de la organización. Necesitas funciones a nivel de la organización para realizar estas tareas.

Recursos superiores para hallazgos

Por lo general, los resultados se adjuntan a un recurso, como una máquina virtual (VM) o un firewall. Security Command Center adjunta los hallazgos al contenedor más inmediato para el recurso que los generó. Por ejemplo, si una VM genera un resultado, este se adjunta al proyecto que contiene la VM. Los hallazgos que no están conectados a un recurso de Google Cloud están conectados a la organización y son visibles para cualquier persona que tenga permisos de Security Command Center a nivel de la organización.

Funciones de IAM en Security Command Center

A continuación, se muestra una lista de las funciones de IAM disponibles para Security Command Center y los permisos incluidos en ellas. Security Command Center Premium admite la asignación de estas funciones a nivel de la organización, la carpeta o el proyecto. La versión estándar de Security Command Center solo admite la asignación de funciones de IAM a nivel de organización.

Función Permisos

Administrador del centro de seguridad
(roles/securitycenter.admin)

Acceso de administrador (superusuario) al centro de seguridad

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Editor administrador del centro de seguridad
(roles/securitycenter.adminEditor)

Acceso de lectura y escritura de administrador al centro de seguridad

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.assets.*
  • securitycenter.assetsecuritymarks.*
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.*
  • securitycenter.findingsecuritymarks.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Visualizador administrador del centro de seguridad
(roles/securitycenter.adminViewer)

Acceso de lectura de administrador al centro de seguridad

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Escritor de marcas de seguridad de recursos del centro de seguridad
(roles/securitycenter.assetSecurityMarksWriter)

Tiene acceso de escritura a marcas de seguridad de recursos.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • securitycenter.assetsecuritymarks.*
  • securitycenter.userinterfacemetadata.*

Ejecutor de detección de recursos del centro de seguridad
(roles/securitycenter.assetsDiscoveryRunner)

Tiene acceso para ejecutar la detección de recursos.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Organización
  • securitycenter.assets.runDiscovery
  • securitycenter.userinterfacemetadata.*

Visualizador de recursos del centro de seguridad
(roles/securitycenter.assetsViewer)

Tiene acceso de lectura a los recursos.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
  • securitycenter.userinterfacemetadata.*

Escritor de marcas de seguridad de hallazgos del centro de seguridad
(roles/securitycenter.findingSecurityMarksWriter)

Acceso de escritura a marcas de seguridad de hallazgos

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • securitycenter.findingsecuritymarks.*
  • securitycenter.userinterfacemetadata.*

Editor de hallazgos del centro de seguridad
(roles/securitycenter.findingsEditor)

Acceso de lectura y escritura a los hallazgos

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.findings.setState
  • securitycenter.findings.update
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.*

Definidor de estado de hallazgos del centro de seguridad
(roles/securitycenter.findingsStateSetter)

Acceso para definir el estado de los hallazgos

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • securitycenter.findings.setState
  • securitycenter.userinterfacemetadata.*

Visualizador de hallazgos del centro de seguridad
(roles/securitycenter.findingsViewer)

Acceso de lectura a los hallazgos

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.*

Definidor de estado de flujos de trabajo de los hallazgos del centro de seguridad Beta
(roles/securitycenter.findingsWorkflowStateSetter)

Define el acceso de los estados de los flujos de trabajo a los resultados

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • securitycenter.findings.setWorkflowState
  • securitycenter.userinterfacemetadata.*

Editor de configuración de notificaciones del centro de seguridad
(roles/securitycenter.notificationConfigEditor)

Acceso de escritura a la configuración de las notificaciones

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Organización
  • securitycenter.notificationconfig.*
  • securitycenter.userinterfacemetadata.*

Visualizador de configuraciones de notificación del centro de seguridad
(roles/securitycenter.notificationConfigViewer)

Acceso de lectura a las configuraciones de notificación

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Organización
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.userinterfacemetadata.*

Administrador de configuración del centro de seguridad
(roles/securitycenter.settingsAdmin)

Acceso de administrador (superusuario) a la configuración del centro de seguridad

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.*

Editor de configuración del centro de seguridad
(roles/securitycenter.settingsEditor)

Acceso de lectura y escritura a la configuración del centro de seguridad

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.*

Visualizador de configuración del centro de seguridad
(roles/securitycenter.settingsViewer)

Acceso de lectura a la configuración del centro de seguridad

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get

Administrador de fuentes del centro de seguridad
(roles/securitycenter.sourcesAdmin)

Acceso de administrador a las fuentes

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Organización
  • resourcemanager.organizations.get
  • securitycenter.sources.*
  • securitycenter.userinterfacemetadata.*

Editor de fuentes del centro de seguridad
(roles/securitycenter.sourcesEditor)

Acceso de lectura y escritura a las fuentes

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Organización
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
  • securitycenter.userinterfacemetadata.*

Visualizador de fuentes del centro de seguridad
(roles/securitycenter.sourcesViewer)

Acceso de lectura a las fuentes

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.*

Función: agente de servicio del centro de seguridad

Cuando habilitas Security Command Center, se crea una cuenta de servicio para ti con el formato service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com. Para usar Security Command Center, la cuenta de servicio debe tener la función securitycenter.serviceAgent a nivel de la organización. Esta función permite que la cuenta de servicio de Security Command Center cree y actualice sus propias copias de los metadatos del inventario de activos de tu organización de forma continua.

Se te solicitará que otorgues esta función a la cuenta de servicio como parte del proceso de integración de Security Command Center. Puedes otorgar todas las funciones necesarias a través de la interfaz de integración o, como alternativa, usar gcloud para otorgar funciones de forma manual. Para obtener instrucciones sobre cómo otorgar funciones a la cuenta de servicio, consulta Otorga permisos.

La función securitycenter.serviceAgent incluye los siguientes permisos:

Función Título Descripción Permisos Recurso más bajo
roles/securitycenter.serviceAgent Agente de servicio del centro de seguridad Tiene acceso para analizar recursos de Google Cloud e importar análisis de seguridad.

Todos los permisos de las siguientes funciones:

  • appengine.appViewer
  • cloudasset.viewer
  • compute.viewer
  • container.viewer
  • dlpscanner.policyReader
  • dlpscanner.scanReader
  • dlp.jobsReader

Además, ten en cuenta los siguientes permisos adicionales:

  • resourcemanager.folders.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • storage.buckets.get
  • storage.buckets.list
  • storage.buckets.getIamPolicy
Organización

Para agregar roles/securitycenter.serviceAgent, debes tener roles/resourcemanager.organizationAdmin. Para agregar la función a una cuenta de servicio, ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com" \
  --role="roles/securitycenter.serviceAgent"

Reemplaza ORGANIZATION_ID por el ID de tu organización.

Para obtener más información sobre las funciones de IAM, consulta Comprende las funciones.

Web Security Scanner

Las funciones de IAM prescriben cómo puedes usar Web Security Scanner. En las tablas siguientes, se incluye cada función de IAM disponible para Web Security Scanner y los métodos disponibles para ellos. Otorga estas funciones a nivel de proyecto. Para dar a los usuarios la capacidad de crear y administrar análisis de seguridad, puedes agregar usuarios a tu proyecto y otorgarles permisos mediante funciones.

Web Security Scanner admite funciones básicas y funciones predefinidas que brindan un acceso más detallado a los recursos de Web Security Scanner.

Funciones de IAM básicas

A continuación, se describen los permisos de Web Security Scanner que otorgan las funciones básicas.

Función Descripción
Propietario Acceso completo a todos los recursos de Web Security Scanner
Editor Acceso completo a todos los recursos de Web Security Scanner
Lector Sin acceso a Web Security Scanner

Funciones predefinidas de IAM

A continuación, se describen los permisos de Web Security Scanner que otorgan las funciones de Web Security Scanner.

Función Permisos

Editor de Web Security Scanner
(roles/cloudsecurityscanner.editor)

Acceso completo a todos los recursos de Web Security Scanner

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Ejecutor de Web Security Scanner
(roles/cloudsecurityscanner.runner)

Tiene acceso de lectura a Scan y ScanRun y puede iniciar análisis.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scanruns.stop
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • cloudsecurityscanner.scans.run

Visualizador de Web Security Scanner
(roles/cloudsecurityscanner.viewer)

Acceso de lectura a todos los recursos de Web Security Scanner

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Para obtener más información sobre las funciones de IAM, consulta Comprende las funciones.