Control de acceso

Security Command Center

Las funciones de administración de identidades y accesos (IAM) determinan la manera en que puedes usar la API de Security Command Center. A continuación, se muestra una lista de cada función de IAM disponible para Security Command Center y los métodos disponibles para ellas. Aplica estas funciones a nivel de organización.

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/securitycenter.admin`	Administrador del centro de seguridad	Acceso de administrador (superusuario) al centro de seguridad	appengine.applications.get cloudsecurityscanner.* compute.addresses.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list securitycenter.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Organización
`roles/securitycenter.adminEditor`	Editor administrador del centro de seguridad	Acceso de lectura y escritura de administrador al centro de seguridad	appengine.applications.get cloudsecurityscanner.* compute.addresses.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list securitycenter.assets.* securitycenter.assetsecuritymarks.* securitycenter.containerthreatdetectionsettings.calculate securitycenter.containerthreatdetectionsettings.get securitycenter.eventthreatdetectionsettings.calculate securitycenter.eventthreatdetectionsettings.get securitycenter.findings.* securitycenter.findingsecuritymarks.* securitycenter.notificationconfig.* securitycenter.organizationsettings.get securitycenter.securitycentersettings.get securitycenter.securityhealthanalyticssettings.calculate securitycenter.securityhealthanalyticssettings.get securitycenter.sources.get securitycenter.sources.list securitycenter.sources.update securitycenter.subscription.* securitycenter.userinterfacemetadata.* securitycenter.websecurityscannersettings.calculate securitycenter.websecurityscannersettings.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Organización
`roles/securitycenter.adminViewer`	Visualizador administrador del centro de seguridad	Acceso de lectura de administrador al centro de seguridad	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.results.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.getSummary cloudsecurityscanner.scanruns.list cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list resourcemanager.organizations.get securitycenter.assets.group securitycenter.assets.list securitycenter.assets.listAssetPropertyNames securitycenter.containerthreatdetectionsettings.calculate securitycenter.containerthreatdetectionsettings.get securitycenter.eventthreatdetectionsettings.calculate securitycenter.eventthreatdetectionsettings.get securitycenter.findings.group securitycenter.findings.list securitycenter.findings.listFindingPropertyNames securitycenter.notificationconfig.get securitycenter.notificationconfig.list securitycenter.organizationsettings.get securitycenter.securitycentersettings.get securitycenter.securityhealthanalyticssettings.calculate securitycenter.securityhealthanalyticssettings.get securitycenter.sources.get securitycenter.sources.list securitycenter.subscription.* securitycenter.userinterfacemetadata.* securitycenter.websecurityscannersettings.calculate securitycenter.websecurityscannersettings.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Organización
`roles/securitycenter.assetSecurityMarksWriter`	Escritor de marcas de seguridad de recursos del centro de seguridad	Acceso de escritura a marcas de seguridad de activos	securitycenter.assetsecuritymarks.* securitycenter.userinterfacemetadata.*	Organización
`roles/securitycenter.assetsDiscoveryRunner`	Ejecutor de detección de recursos del centro de seguridad	Acceso para ejecutar la detección de activos	securitycenter.assets.runDiscovery securitycenter.userinterfacemetadata.*	Organización
`roles/securitycenter.assetsViewer`	Visualizador de recursos del centro de seguridad	Acceso de lectura a los recursos	resourcemanager.organizations.get securitycenter.assets.group securitycenter.assets.list securitycenter.assets.listAssetPropertyNames securitycenter.userinterfacemetadata.*	Organización
`roles/securitycenter.findingSecurityMarksWriter`	Escritor de marcas de seguridad de hallazgos del centro de seguridad	Acceso de escritura a marcas de seguridad de hallazgos	securitycenter.findingsecuritymarks.* securitycenter.userinterfacemetadata.*	Organización
`roles/securitycenter.findingsEditor`	Editor de hallazgos del centro de seguridad	Acceso de lectura y escritura a los hallazgos	resourcemanager.organizations.get securitycenter.findings.group securitycenter.findings.list securitycenter.findings.listFindingPropertyNames securitycenter.findings.setState securitycenter.findings.update securitycenter.sources.get securitycenter.sources.list securitycenter.userinterfacemetadata.*	Organización
`roles/securitycenter.findingsStateSetter`	Definidor de estado de hallazgos del centro de seguridad	Acceso para definir el estado de los hallazgos	securitycenter.findings.setState securitycenter.userinterfacemetadata.*	Organización
`roles/securitycenter.findingsViewer`	Visualizador de hallazgos del centro de seguridad	Acceso de lectura a los hallazgos	resourcemanager.organizations.get securitycenter.findings.group securitycenter.findings.list securitycenter.findings.listFindingPropertyNames securitycenter.sources.get securitycenter.sources.list securitycenter.userinterfacemetadata.*	Organización
`roles/securitycenter.findingsWorkflowStateSetter`	Definidor del estado de los flujos de trabajo de los resultados del centro de seguridad ^Beta	Define el acceso de los estados de los flujos de trabajo a los resultados	securitycenter.findings.setWorkflowState securitycenter.userinterfacemetadata.*
`roles/securitycenter.notificationConfigEditor`	Editor de configuración de notificaciones del centro de seguridad	Acceso de escritura a la configuración de las notificaciones	securitycenter.notificationconfig.* securitycenter.userinterfacemetadata.*
`roles/securitycenter.notificationConfigViewer`	Visualizador de configuraciones de notificación del centro de seguridad	Acceso de lectura a las configuraciones de notificación	securitycenter.notificationconfig.get securitycenter.notificationconfig.list securitycenter.userinterfacemetadata.*
`roles/securitycenter.settingsAdmin`	Administrador de configuración del centro de seguridad	Acceso de administrador (superusuario) a la configuración del centro de seguridad	securitycenter.containerthreatdetectionsettings.* securitycenter.eventthreatdetectionsettings.* securitycenter.notificationconfig.* securitycenter.organizationsettings.* securitycenter.securitycentersettings.* securitycenter.securityhealthanalyticssettings.* securitycenter.subscription.* securitycenter.userinterfacemetadata.* securitycenter.websecurityscannersettings.*
`roles/securitycenter.settingsEditor`	Editor de configuración del centro de seguridad	Acceso de lectura y escritura a la configuración del centro de seguridad	securitycenter.containerthreatdetectionsettings.* securitycenter.eventthreatdetectionsettings.* securitycenter.notificationconfig.* securitycenter.organizationsettings.* securitycenter.securitycentersettings.* securitycenter.securityhealthanalyticssettings.* securitycenter.subscription.* securitycenter.userinterfacemetadata.* securitycenter.websecurityscannersettings.*
`roles/securitycenter.settingsViewer`	Visualizador de configuración del centro de seguridad	Acceso de lectura a la configuración del centro de seguridad	securitycenter.containerthreatdetectionsettings.calculate securitycenter.containerthreatdetectionsettings.get securitycenter.eventthreatdetectionsettings.calculate securitycenter.eventthreatdetectionsettings.get securitycenter.notificationconfig.get securitycenter.notificationconfig.list securitycenter.organizationsettings.get securitycenter.securitycentersettings.get securitycenter.securityhealthanalyticssettings.calculate securitycenter.securityhealthanalyticssettings.get securitycenter.subscription.* securitycenter.userinterfacemetadata.* securitycenter.websecurityscannersettings.calculate securitycenter.websecurityscannersettings.get
`roles/securitycenter.sourcesAdmin`	Administrador de fuentes del centro de seguridad	Acceso de administrador a las fuentes	resourcemanager.organizations.get securitycenter.sources.* securitycenter.userinterfacemetadata.*	Organización
`roles/securitycenter.sourcesEditor`	Editor de fuentes del centro de seguridad	Acceso de lectura y escritura a las fuentes	resourcemanager.organizations.get securitycenter.sources.get securitycenter.sources.list securitycenter.sources.update securitycenter.userinterfacemetadata.*	Organización
`roles/securitycenter.sourcesViewer`	Visualizador de fuentes del centro de seguridad	Acceso de lectura a las fuentes	resourcemanager.organizations.get securitycenter.sources.get securitycenter.sources.list securitycenter.userinterfacemetadata.*	Organización

Función: agente de servicios del centro de seguridad

Cuando habilitas Security Command Center, se crea una cuenta de servicio para ti con el formato service-org-organization-id@security-center-api.iam.gserviceaccount.com. Para usar Security Command Center, la cuenta de servicio debe tener la función securitycenter.serviceAgent a nivel de la organización. Esta función permite que la cuenta de servicio de Security Command Center cree y actualice su propia copia de los metadatos del inventario de activos de tu organización de manera continua.

Se te solicitará que otorgues esta función a la cuenta de servicio como parte del proceso de integración de Security Command Center. Puedes otorgar todas las funciones requeridas a través de la interfaz de integración o, de manera alternativa, usar gcloud para otorgar de forma manual las funciones. Para obtener instrucciones sobre cómo otorgar funciones a la cuenta de servicio, consulta Otorga permisos.

Esta función securitycenter.serviceAgent es una función interna que incluye los siguientes permisos:

Función Título Descripción Permisos Recurso más bajo

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/securitycenter.serviceAgent`	Agente de servicio del centro de seguridad	Tiene acceso para analizar recursos de Google Cloud e importar análisis de seguridad.	Todos los permisos de las siguientes funciones: `appengine.appViewer` `cloudasset.viewer` `compute.viewer` `container.viewer` `dlpscanner.policyReader` `dlpscanner.scanReader` `dlp.jobsReader` Además, se incluyen los siguientes permisos adicionales: `resourcemanager.folders.list` `resourcemanager.folders.get` `resourcemanager.organizations.list` `resourcemanager.organizations.get` `resourcemanager.projects.list` `resourcemanager.projects.get` `resourcemanager.projects.getIamPolicy` `storage.buckets.get` `storage.buckets.list` `storage.buckets.getIamPolicy`	Organización

roles/securitycenter.serviceAgent

Agente de servicio del centro de seguridad

Tiene acceso para analizar recursos de Google Cloud e importar análisis de seguridad.

Todos los permisos de las siguientes funciones:

appengine.appViewer
cloudasset.viewer
compute.viewer
container.viewer
dlpscanner.policyReader
dlpscanner.scanReader
dlp.jobsReader

Además, se incluyen los siguientes permisos adicionales:

resourcemanager.folders.list
resourcemanager.folders.get
resourcemanager.organizations.list
resourcemanager.organizations.get
resourcemanager.projects.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
storage.buckets.get
storage.buckets.list
storage.buckets.getIamPolicy

Organización

Para agregar roles/securitycenter.serviceAgent, debes tener roles/resourcemanager.organizationAdmin. Para agregar la función a una cuenta de servicio, ejecuta el comando siguiente:

gcloud organizations add-iam-policy-binding organization-id \
  --member="serviceAccount:service-org-organization-id@security-center-api.iam.gserviceaccount.com" \
  --role="roles/securitycenter.serviceAgent"

Para obtener más información sobre las funciones de IAM, consulta Comprende las funciones.

Event Threat Detection

Las funciones de administración de identidades y accesos (IAM) determinan la manera en que puedes usar la API de Event Threat Detection. A continuación, se muestra una lista de cada función de IAM disponible para la detección de amenazas a eventos y los métodos disponibles para ellos. Aplica estas funciones a nivel de organización.

Role	Título	Descripción	Permisos	Recurso más bajo
`roles/threatdetection.editor`	Editor de la configuración de la detección de amenazas^Beta	Acceso de lectura y escritura a toda la configuración de detección de amenazas	threatdetection.*	Organización
`roles/threatdetection.viewer`	Visualizador de la configuración de la detección de amenazas^Beta	Acceso de lectura a toda la configuración de detección de amenazas	threatdetection.detectorSettings.get threatdetection.sinkSettings.get threatdetection.sourceSettings.get	Organización

Web Security Scanner

Las funciones de administración de identidades y accesos (IAM) determinan la forma en que puedes usar el análisis de seguridad web. En las siguientes tablas, se incluye cada función de IAM disponible para Web Security Scanner y los métodos disponibles para ellas. Otorga estas funciones a nivel de proyecto. A fin de otorgar a los usuarios la capacidad de crear y administrar análisis de seguridad, debes agregar usuarios a tu proyecto y otorgarles permisos con las funciones.

Web Security Scanner cuenta con funciones básicas y funciones predefinidas que brindan acceso más detallado a los recursos de Web Security Scanner.

Funciones de IAM básicas

A continuación, se describen los permisos de Web Security Scanner que se otorgan mediante funciones básicas.

Función	Descripción
Propietario	Acceso completo a todos los recursos de Web Security Scanner
Editor	Acceso completo a todos los recursos de Web Security Scanner
Lector	Sin acceso a Web Security Scanner

Funciones predefinidas de IAM

A continuación, se describen los permisos de Web Security Scanner que otorgan las funciones de Web Security Scanner.

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/cloudsecurityscanner.editor`	Editor de Web Security Scanner	Acceso completo a todos los recursos de Web Security Scanner	appengine.applications.get cloudsecurityscanner.* compute.addresses.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Proyecto
`roles/cloudsecurityscanner.runner`	Ejecutor de Web Security Scanner	Tiene acceso de lectura a Scan y ScanRun y puede iniciar análisis.	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.list cloudsecurityscanner.scanruns.stop cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list cloudsecurityscanner.scans.run	Proyecto
`roles/cloudsecurityscanner.viewer`	Visualizador de Web Security Scanner	Acceso de lectura a todos los recursos de Web Security Scanner	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.results.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.getSummary cloudsecurityscanner.scanruns.list cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Proyecto

Para obtener más información sobre las funciones de IAM, consulta Comprende las funciones.