Control de acceso

Security Command Center

En las funciones de administración de identidades y accesos (IAM), se describe cómo puedes usar la API de Security Command Center. A continuación, se muestra una lista de cada función de IAM disponible para Security Command Center y los métodos disponibles para ellas. Aplica estas funciones a nivel de la organización.

Función Título Descripción Permisos Recurso más bajo
roles/securitycenter.admin Administrador del centro de seguridad Acceso de administrador (superusuario) al centro de seguridad
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Organización
roles/securitycenter.adminEditor Editor administrador del centro de seguridad Acceso de lectura y escritura de administrador al centro de seguridad
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.assets.*
  • securitycenter.assetsecuritymarks.*
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.*
  • securitycenter.findingsecuritymarks.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Organización
roles/securitycenter.adminViewer Visualizador administrador del centro de seguridad Acceso de lectura de administrador al centro de seguridad
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • resourcemanager.organizations.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Organización
roles/securitycenter.assetSecurityMarksWriter Escritor de marcas de seguridad de recursos del centro de seguridad Acceso de escritura a marcas de seguridad de activos
  • securitycenter.assetsecuritymarks.*
Organización
roles/securitycenter.assetsDiscoveryRunner Ejecutor de detección de recursos del centro de seguridad Acceso para ejecutar la detección de activos
  • securitycenter.assets.runDiscovery
Organización
roles/securitycenter.assetsViewer Visualizador de recursos del centro de seguridad Acceso de lectura a los recursos
  • resourcemanager.organizations.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
Organización
roles/securitycenter.findingSecurityMarksWriter Escritor de marcas de seguridad de hallazgos del centro de seguridad Acceso de escritura a marcas de seguridad de hallazgos
  • securitycenter.findingsecuritymarks.*
Organización
roles/securitycenter.findingsEditor Editor de hallazgos del centro de seguridad Acceso de lectura y escritura a los hallazgos
  • resourcemanager.organizations.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.findings.setState
  • securitycenter.findings.update
  • securitycenter.sources.get
  • securitycenter.sources.list
Organización
roles/securitycenter.findingsStateSetter Definidor de estado de hallazgos del centro de seguridad Acceso para definir el estado de los hallazgos
  • securitycenter.findings.setState
Organización
roles/securitycenter.findingsViewer Visualizador de hallazgos del centro de seguridad Acceso de lectura a los hallazgos
  • resourcemanager.organizations.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.sources.get
  • securitycenter.sources.list
Organización
roles/securitycenter.findingsWorkflowStateSetter Definidor del estado de los flujos de trabajo de los resultados del centro de seguridad Beta Define el acceso de los estados de los flujos de trabajo a los resultados
  • securitycenter.findings.setWorkflowState
roles/securitycenter.notificationConfigEditor Editor de configuración de notificaciones del centro de seguridad Acceso de escritura a la configuración de las notificaciones
  • securitycenter.notificationconfig.*
roles/securitycenter.notificationConfigViewer Visualizador de configuraciones de notificación del centro de seguridad Acceso de lectura a las configuraciones de notificación
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
roles/securitycenter.settingsAdmin Administrador de configuración del centro de seguridad Acceso de administrador (superusuario) a la configuración del centro de seguridad
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.*
roles/securitycenter.settingsEditor Editor de configuración del centro de seguridad Acceso de lectura y escritura a la configuración del centro de seguridad
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.*
roles/securitycenter.settingsViewer Visualizador de configuración del centro de seguridad Acceso de lectura a la configuración del centro de seguridad
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
roles/securitycenter.sourcesAdmin Administrador de fuentes del centro de seguridad Acceso de administrador a las fuentes
  • resourcemanager.organizations.get
  • securitycenter.sources.*
Organización
roles/securitycenter.sourcesEditor Editor de fuentes del centro de seguridad Acceso de lectura y escritura a las fuentes
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
Organización
roles/securitycenter.sourcesViewer Visualizador de fuentes del centro de seguridad Acceso de lectura a las fuentes
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
Organización

Función: Agente de servicio del centro de seguridad

Cuando habilitas Security Command Center, se crea una cuenta de servicio para ti con el formato service-org-organization-id@security-center-api.iam.gserviceaccount.com. A esta cuenta de servicio se le otorga la función securitycenter.serviceAgent de forma automática a nivel de la organización. Esta función permite que la cuenta de servicio de Security Command Center cree y actualice sus propias copias de los metadatos del inventario de elementos de tu organización de forma continua.

Esta función securitycenter.serviceAgent es una función interna que incluye los siguientes permisos:

Función Título Descripción Permisos Recurso más bajo
roles/securitycenter.serviceAgent Agente de servicio del centro de seguridad Tiene acceso para analizar recursos de Google Cloud e importar análisis de seguridad.

Todos los permisos de las siguientes funciones:

  • appengine.appViewer
  • cloudasset.viewer
  • compute.viewer
  • container.viewer
  • dlpscanner.policyReader
  • dlpscanner.scanReader
  • dlp.jobsReader

Además de los siguientes permisos adicionales:

  • resourcemanager.folders.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • storage.buckets.get
  • storage.buckets.list
  • storage.buckets.getIamPolicy
Organización

Para agregar roles/securitycenter.serviceAgent, debes tener roles/resourcemanager.organizationAdmin. Para agregar la función a una cuenta de servicio, ejecuta el siguiente comando:

gcloud organizations add-iam-policy-binding organization-id \
  --member="serviceAccount:service-org-organization-id@security-center-api.iam.gserviceaccount.com" \
  --role="roles/securitycenter.serviceAgent"

Para obtener más información sobre las funciones de IAM, consulta Comprende las funciones.

Event Threat Detection

En las funciones de administración de identidades y accesos (IAM), se describe cómo puedes usar la API de Event Threat Detection. A continuación, se muestra una lista de cada función de IAM disponible para Event Threat Detection y los métodos disponibles para ellas. Aplica estas funciones a nivel de la organización.

Role Título Descripción Permisos Recurso más bajo
roles/threatdetection.editor Editor de la configuración de la detección de amenazasBeta Acceso de lectura y escritura a toda la configuración de detección de amenazas
  • threatdetection.*
Organización
roles/threatdetection.viewer Visualizador de la configuración de la detección de amenazasBeta Acceso de lectura a toda la configuración de detección de amenazas
  • threatdetection.detectorSettings.get
  • threatdetection.sinkSettings.get
  • threatdetection.sourceSettings.get
Organización

Web Security Scanner

En las funciones de administración de identidades y accesos (IAM), se describe cómo puedes usar Web Security Scanner. Las siguientes tablas incluyen cada función de IAM disponible para Web Security Scanner y los métodos disponibles para ellas. Otorga estas funciones a nivel de proyecto. Para dar a los usuarios la capacidad de crear y administrar análisis de seguridad, agrega usuarios a tu proyecto y otórgales permisos con las funciones.

Web Security Scanner admite las funciones básicas y las funciones predefinidas que brindan un acceso más detallado a los recursos de Web Security Scanner.

Funciones básicas de IAM

A continuación, se describen los permisos de Web Security Scanner que otorgan las funciones básicas.

Función Descripción
Propietario Acceso completo a todos los recursos de Web Security Scanner
Editor Acceso completo a todos los recursos de Web Security Scanner
Lector Sin acceso a Web Security Scanner

Funciones predefinidas de IAM

A continuación, se describen los permisos de Web Security Scanner que otorgan las funciones de Web Security Scanner.

Función Título Descripción Permisos Recurso más bajo
roles/cloudsecurityscanner.editor Editor de Web Security Scanner Acceso completo a todos los recursos de Web Security Scanner
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Proyecto
roles/cloudsecurityscanner.runner Ejecutor de Web Security Scanner Tiene acceso de lectura a Scan y ScanRun y puede iniciar análisis.
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scanruns.stop
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • cloudsecurityscanner.scans.run
Proyecto
roles/cloudsecurityscanner.viewer Visualizador de Web Security Scanner Acceso de lectura a todos los recursos de Web Security Scanner
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Proyecto

Para obtener más información sobre las funciones de IAM, consulta Comprende las funciones.