Security Command Center
ID 및 액세스 관리(IAM) 역할은 Security Command Center API를 사용하는 방법을 규정합니다. 다음은 Security Command Center에서 사용할 수 있는 각 IAM 역할과 해당 역할에 사용할 수 있는 메서드 목록입니다. 조직 수준에서 이러한 역할을 적용합니다.
| 역할 | 이름 | 설명 | 권한 | 최하위 리소스 |
|---|---|---|---|---|
roles/ |
보안 센터 관리자 | 보안 센터에 대한 관리자(수퍼유저) 액세스 권한입니다. |
|
조직 |
roles/ |
보안 센터 관리자 편집자 | 보안 센터에 대한 관리자 읽기 및 쓰기 권한입니다. |
|
조직 |
roles/ |
보안 센터 관리자 뷰어 | 보안 센터에 대한 관리자 읽기 액세스 권한입니다. |
|
조직 |
roles/ |
보안 센터 애셋 보안 표시 작성자 | 애셋 보안 표시에 대한 쓰기 액세스 권한입니다. |
|
조직 |
roles/ |
보안 센터 애셋 검색 실행자 | 애셋에 대한 애셋 검색 실행 액세스 권한입니다. |
|
조직 |
roles/ |
보안 센터 애셋 뷰어 | 애셋에 대한 읽기 액세스 권한입니다. |
|
조직 |
roles/ |
보안 센터 발견 항목 보안 표시 작성자 | 발견 항목 보안 표시에 대한 쓰기 액세스 권한입니다. |
|
조직 |
roles/ |
보안 센터 발견 항목 편집자 | 발견 항목에 대한 읽기 및 쓰기 액세스 권한입니다. |
|
조직 |
roles/ |
보안 센터 발견 항목 상태 설정자 | 발견 항목에 대한 상태 설정 액세스 권한입니다. |
|
조직 |
roles/ |
보안 센터 발견 항목 뷰어 | 발견 항목에 대한 읽기 액세스 권한입니다. |
|
조직 |
roles/ |
보안 센터 발견 항목 워크플로 상태 설정자 베타 | 발견 항목에 대한 워크플로 상태 액세스 권한을 설정합니다. |
|
|
roles/ |
보안 센터 알림 구성 편집자 | 알림 구성에 대한 쓰기 액세스 권한입니다. |
|
|
roles/ |
보안 센터 알림 구성 뷰어 | 알림 구성에 대한 읽기 액세스 권한입니다. |
|
|
roles/ |
보안 센터 설정 관리자 | 보안 센터 설정에 대한 관리자(수퍼유저) 액세스 권한입니다. |
|
|
roles/ |
보안 센터 설정 편집자 | 보안 센터 설정에 대한 읽기 및 쓰기 액세스 권한입니다. |
|
|
roles/ |
보안 센터 설정 뷰어 | 보안 센터 설정에 대한 읽기 액세스 권한입니다. |
|
|
roles/ |
보안 센터 소스 관리자 | 소스에 대한 관리자 액세스 권한입니다. |
|
조직 |
roles/ |
보안 센터 소스 편집자 | 소스에 대한 읽기 및 쓰기 액세스 권한입니다. |
|
조직 |
roles/ |
보안 센터 소스 뷰어 | 소스에 대한 읽기 액세스 권한입니다. |
|
조직 |
역할: 보안 센터 서비스 에이전트
Security Command Center를 사용 설정하면 service-org-organization-id@security-center-api.iam.gserviceaccount.com 형식으로 서비스 계정이 생성됩니다.
이 서비스 계정에는 조직 수준에서 securitycenter.serviceAgent 역할이 자동으로 부여됩니다. 이 역할을 사용하면 Security Command Center 서비스 계정에서 조직의 애셋 인벤토리 메타데이터 사본을 지속적으로 만들고 업데이트할 수 있습니다.
이 securitycenter.serviceAgent 역할은 다음 권한을 포함하는 내부 역할입니다.
| 역할 | 이름 | 설명 | 권한 | 최하위 리소스 |
|---|---|---|---|---|
roles/securitycenter.serviceAgent |
보안 센터 서비스 에이전트 | Google Cloud 리소스를 스캔하고 보안 스캔을 가져올 수 있는 액세스 권한입니다. |
다음 역할의 모든 권한:
다음과 같은 추가 권한이 필요합니다.
|
조직 |
roles/securitycenter.serviceAgent를 추가하려면 roles/resourcemanager.organizationAdmin이 있어야 합니다. 다음을 실행하여 서비스 계정에 역할을 추가할 수 있습니다.
gcloud organizations add-iam-policy-binding organization-id \
--member="serviceAccount:service-org-organization-id@security-center-api.iam.gserviceaccount.com" \
--role="roles/securitycenter.serviceAgent"
IAM 역할에 대한 자세한 내용은 역할 이해를 참조하세요.
Event Threat Detection
ID 및 액세스 관리(IAM) 역할은 Event Threat Detection API를 사용하는 방법을 규정합니다. 다음은 Event Threat Detection에 사용할 수 있는 각 IAM 역할 및 해당 역할에 사용할 수 있는 메서드 목록입니다. 조직 수준에서 이러한 역할을 적용합니다.
| 역할 | 이름 | 설명 | 권한 | 최하위 리소스 |
|---|---|---|---|---|
roles/ |
위협 감지 설정 편집자베타 | 모든 위협 감지 설정에 대한 읽기 및 쓰기 액세스 권한입니다. |
|
조직 |
roles/ |
위협 감지 설정 뷰어베타 | 모든 위협 감지 설정에 대한 읽기 액세스 권한입니다. |
|
조직 |
Web Security Scanner
ID 및 액세스 관리(IAM) 역할은 Web Security Scanner 사용 방법을 규정합니다. 아래 표에는 Web Security Scanner에서 사용할 수 있는 각 IAM 역할과 해당 역할에 사용할 수 있는 메서드가 나와 있습니다. 프로젝트 수준에서 이러한 역할을 부여합니다. 사용자에게 보안 스캔을 만들고 관리할 수 있는 기능을 제공하려면 프로젝트에 사용자를 추가하고 역할을 사용하여 권한을 부여합니다.
Web Security Scanner는 기본 역할과 사전 정의된 역할을 지원하며 Web Security Scanner 리소스에 대한 액세스 권한을 더욱 세부적으로 제공합니다.
기본 IAM 역할
다음은 기본 역할로 부여되는 Web Security Scanner 권한을 설명합니다.
| 역할 | 설명 |
|---|---|
| 소유자 | 모든 Web Security Scanner 리소스에 대한 전체 액세스 권한입니다. |
| 편집자 | 모든 Web Security Scanner 리소스에 대한 전체 액세스 권한입니다. |
| 뷰어 | Web Security Scanner에 대한 액세스 권한이 없습니다. |
사전 정의된 IAM 역할
다음은 Web Security Scanner 역할에 의해 부여되는 Web Security Scanner 권한을 설명합니다.
| 역할 | 이름 | 설명 | 권한 | 최하위 리소스 |
|---|---|---|---|---|
roles/ |
Web Security Scanner 편집자 | 모든 Web Security Scanner 리소스에 대한 전체 액세스 권한입니다. |
|
프로젝트 |
roles/ |
Web Security Scanner 실행자 | 스캔 및 스캔 실행에 대한 읽기 액세스 권한이며 스캔을 시작할 수 있습니다. |
|
프로젝트 |
roles/ |
Web Security Scanner 뷰어 | 모든 Web Security Scanner 리소스에 대한 읽기 액세스 권한입니다. |
|
프로젝트 |
IAM 역할에 대한 자세한 내용은 역할 이해를 참조하세요.