액세스 제어

>

Security Command Center

ID 및 액세스 관리(IAM) 역할은 Security Command Center API를 사용하는 방법을 규정합니다. 다음은 Security Command Center에서 사용할 수 있는 각 IAM 역할과 해당 역할에 사용할 수 있는 메서드 목록입니다. 조직 수준에서 이러한 역할을 적용합니다.

역할 이름 설명 권한 최하위 리소스
roles/securitycenter.admin 보안 센터 관리자 보안 센터에 대한 관리자(수퍼유저) 액세스 권한입니다.
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
조직
roles/securitycenter.adminEditor 보안 센터 관리자 편집자 보안 센터에 대한 관리자 읽기 및 쓰기 권한입니다.
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.assets.*
  • securitycenter.assetsecuritymarks.*
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.*
  • securitycenter.findingsecuritymarks.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
조직
roles/securitycenter.adminViewer 보안 센터 관리자 뷰어 보안 센터에 대한 관리자 읽기 액세스 권한입니다.
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • resourcemanager.organizations.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
조직
roles/securitycenter.assetSecurityMarksWriter 보안 센터 애셋 보안 표시 작성자 애셋 보안 표시에 대한 쓰기 액세스 권한입니다.
  • securitycenter.assetsecuritymarks.*
조직
roles/securitycenter.assetsDiscoveryRunner 보안 센터 애셋 검색 실행자 애셋에 대한 애셋 검색 실행 액세스 권한입니다.
  • securitycenter.assets.runDiscovery
조직
roles/securitycenter.assetsViewer 보안 센터 애셋 뷰어 애셋에 대한 읽기 액세스 권한입니다.
  • resourcemanager.organizations.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
조직
roles/securitycenter.findingSecurityMarksWriter 보안 센터 발견 항목 보안 표시 작성자 발견 항목 보안 표시에 대한 쓰기 액세스 권한입니다.
  • securitycenter.findingsecuritymarks.*
조직
roles/securitycenter.findingsEditor 보안 센터 발견 항목 편집자 발견 항목에 대한 읽기 및 쓰기 액세스 권한입니다.
  • resourcemanager.organizations.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.findings.setState
  • securitycenter.findings.update
  • securitycenter.sources.get
  • securitycenter.sources.list
조직
roles/securitycenter.findingsStateSetter 보안 센터 발견 항목 상태 설정자 발견 항목에 대한 상태 설정 액세스 권한입니다.
  • securitycenter.findings.setState
조직
roles/securitycenter.findingsViewer 보안 센터 발견 항목 뷰어 발견 항목에 대한 읽기 액세스 권한입니다.
  • resourcemanager.organizations.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.sources.get
  • securitycenter.sources.list
조직
roles/securitycenter.findingsWorkflowStateSetter 보안 센터 발견 항목 워크플로 상태 설정자 베타 발견 항목에 대한 워크플로 상태 액세스 권한을 설정합니다.
  • securitycenter.findings.setWorkflowState
roles/securitycenter.notificationConfigEditor 보안 센터 알림 구성 편집자 알림 구성에 대한 쓰기 액세스 권한입니다.
  • securitycenter.notificationconfig.*
roles/securitycenter.notificationConfigViewer 보안 센터 알림 구성 뷰어 알림 구성에 대한 읽기 액세스 권한입니다.
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
roles/securitycenter.settingsAdmin 보안 센터 설정 관리자 보안 센터 설정에 대한 관리자(수퍼유저) 액세스 권한입니다.
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.*
roles/securitycenter.settingsEditor 보안 센터 설정 편집자 보안 센터 설정에 대한 읽기 및 쓰기 액세스 권한입니다.
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.*
roles/securitycenter.settingsViewer 보안 센터 설정 뷰어 보안 센터 설정에 대한 읽기 액세스 권한입니다.
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
roles/securitycenter.sourcesAdmin 보안 센터 소스 관리자 소스에 대한 관리자 액세스 권한입니다.
  • resourcemanager.organizations.get
  • securitycenter.sources.*
조직
roles/securitycenter.sourcesEditor 보안 센터 소스 편집자 소스에 대한 읽기 및 쓰기 액세스 권한입니다.
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
조직
roles/securitycenter.sourcesViewer 보안 센터 소스 뷰어 소스에 대한 읽기 액세스 권한입니다.
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
조직

역할: 보안 센터 서비스 에이전트

Security Command Center를 사용 설정하면 service-org-organization-id@security-center-api.iam.gserviceaccount.com 형식으로 서비스 계정이 생성됩니다. 이 서비스 계정에는 조직 수준에서 securitycenter.serviceAgent 역할이 자동으로 부여됩니다. 이 역할을 사용하면 Security Command Center 서비스 계정에서 조직의 애셋 인벤토리 메타데이터 사본을 지속적으로 만들고 업데이트할 수 있습니다.

securitycenter.serviceAgent 역할은 다음 권한을 포함하는 내부 역할입니다.

역할 이름 설명 권한 최하위 리소스
roles/securitycenter.serviceAgent 보안 센터 서비스 에이전트 Google Cloud 리소스를 스캔하고 보안 스캔을 가져올 수 있는 액세스 권한입니다.

다음 역할의 모든 권한:

  • appengine.appViewer
  • cloudasset.viewer
  • compute.viewer
  • container.viewer
  • dlpscanner.policyReader
  • dlpscanner.scanReader
  • dlp.jobsReader

다음과 같은 추가 권한이 필요합니다.

  • resourcemanager.folders.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • storage.buckets.get
  • storage.buckets.list
  • storage.buckets.getIamPolicy
조직

roles/securitycenter.serviceAgent를 추가하려면 roles/resourcemanager.organizationAdmin이 있어야 합니다. 다음을 실행하여 서비스 계정에 역할을 추가할 수 있습니다.

gcloud organizations add-iam-policy-binding organization-id \
  --member="serviceAccount:service-org-organization-id@security-center-api.iam.gserviceaccount.com" \
  --role="roles/securitycenter.serviceAgent"

IAM 역할에 대한 자세한 내용은 역할 이해를 참조하세요.

Event Threat Detection

ID 및 액세스 관리(IAM) 역할은 Event Threat Detection API를 사용하는 방법을 규정합니다. 다음은 Event Threat Detection에 사용할 수 있는 각 IAM 역할 및 해당 역할에 사용할 수 있는 메서드 목록입니다. 조직 수준에서 이러한 역할을 적용합니다.

역할 이름 설명 권한 최하위 리소스
roles/threatdetection.editor 위협 감지 설정 편집자베타 모든 위협 감지 설정에 대한 읽기 및 쓰기 액세스 권한입니다.
  • threatdetection.*
조직
roles/threatdetection.viewer 위협 감지 설정 뷰어베타 모든 위협 감지 설정에 대한 읽기 액세스 권한입니다.
  • threatdetection.detectorSettings.get
  • threatdetection.sinkSettings.get
  • threatdetection.sourceSettings.get
조직

Web Security Scanner

ID 및 액세스 관리(IAM) 역할은 Web Security Scanner 사용 방법을 규정합니다. 아래 표에는 Web Security Scanner에서 사용할 수 있는 각 IAM 역할과 해당 역할에 사용할 수 있는 메서드가 나와 있습니다. 프로젝트 수준에서 이러한 역할을 부여합니다. 사용자에게 보안 스캔을 만들고 관리할 수 있는 기능을 제공하려면 프로젝트에 사용자를 추가하고 역할을 사용하여 권한을 부여합니다.

Web Security Scanner는 기본 역할사전 정의된 역할을 지원하며 Web Security Scanner 리소스에 대한 액세스 권한을 더욱 세부적으로 제공합니다.

기본 IAM 역할

다음은 기본 역할로 부여되는 Web Security Scanner 권한을 설명합니다.

역할 설명
소유자 모든 Web Security Scanner 리소스에 대한 전체 액세스 권한입니다.
편집자 모든 Web Security Scanner 리소스에 대한 전체 액세스 권한입니다.
뷰어 Web Security Scanner에 대한 액세스 권한이 없습니다.

사전 정의된 IAM 역할

다음은 Web Security Scanner 역할에 의해 부여되는 Web Security Scanner 권한을 설명합니다.

역할 이름 설명 권한 최하위 리소스
roles/cloudsecurityscanner.editor Web Security Scanner 편집자 모든 Web Security Scanner 리소스에 대한 전체 액세스 권한입니다.
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
프로젝트
roles/cloudsecurityscanner.runner Web Security Scanner 실행자 스캔 및 스캔 실행에 대한 읽기 액세스 권한이며 스캔을 시작할 수 있습니다.
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scanruns.stop
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • cloudsecurityscanner.scans.run
프로젝트
roles/cloudsecurityscanner.viewer Web Security Scanner 뷰어 모든 Web Security Scanner 리소스에 대한 읽기 액세스 권한입니다.
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
프로젝트

IAM 역할에 대한 자세한 내용은 역할 이해를 참조하세요.