Controle de acesso com o IAM

Esta página descreve como o Security Command Center usa o gerenciamento de identidade e acesso (IAM) para controlar o acesso a recursos em diferentes níveis da hierarquia de recursos.

O Security Command Center usa papéis do IAM para controlar quem pode fazer o que com recursos, descobertas e serviços de segurança no ambiente do Security Command Center. Você concede papéis a indivíduos e aplicativos, e cada papel fornece permissões específicas.

O Security Command Center Premium é compatível com a concessão de papéis do IAM nos níveis da organização, pasta e projeto. O Security Command Center Standard aceita apenas papéis de IAM no nível da organização.

Permissões

Para configurar o Security Command Center ou alterar a configuração da sua organização, você precisa dos dois papéis a seguir no nível da organização:

Administrador da organização (roles/resourcemanager.organizationAdmin)
Administrador da Central de segurança (roles/securitycenter.admin)

Se um usuário não precisar de permissões para edição, considere conceder a ele papéis de leitor. Para visualizar todos os recursos, descobertas e configurações no Security Command Center, os usuários precisam ter o papel Leitor da Central de segurança (roles/securitycenter.adminViewer) na organização.

Para restringir o acesso a pastas e projetos individuais, não conceda todos os papéis no nível da organização. Em vez disso, conceda os seguintes papéis no nível da pasta ou do projeto:

Leitor de recursos da Central de segurança (roles/securitycenter.assetsViewer)
Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer)

Papéis no nível da organização

Quando os papéis de IAM são aplicados no nível da organização, os projetos e as pastas em uma organização herdam os papéis e as permissões.

A figura a seguir ilustra uma hierarquia de recursos típica do Security Command Center com permissões concedidas no nível da organização.

Hierarquia de recursos e estrutura de permissões do Security Command Center — Hierarquia de recursos do Security Command Center e papéis no nível da organização (clique para ampliar)

Os papéis do IAM incluem permissões para visualizar, editar, atualizar, criar ou gerenciar recursos. Os papéis concedidos no nível da organização no Security Command Center permitem que os usuários realizem ações prescritas em descobertas, recursos e serviços de segurança em toda a organização. Por exemplo, um usuário com o papel de Editor de descobertas da Central de segurança (roles/securitycenter.findingsEditor) pode visualizar ou editar as descobertas anexadas a qualquer recurso em qualquer projeto ou pasta na organização. Com essa estrutura, não é necessário conceder papéis aos usuários em cada pasta ou projeto.

Para instruções sobre como gerenciar papéis e permissões, consulte Gerenciar o acesso a projetos, pastas e organizações.

Os papéis no nível da organização não são adequados para todos os casos de uso, especialmente para aplicativos confidenciais ou regimes de conformidade que exigem controles de acesso rigorosos. Para criar políticas de acesso detalhadas, o Security Command Center Premium permite conceder papéis nos níveis de pasta e projeto.

Papéis de pasta e projeto

O Security Command Center Premium permite conceder papéis do IAM do Security Command Center para pastas e projetos específicos, criando várias visualizações ou silos na sua organização. Conceda a usuários e grupos diferentes acessos e permissões para edição em pastas e projetos em toda a organização.

O vídeo a seguir descreve a compatibilidade do Security Command Center Premium com papéis no nível da pasta e do projeto e como gerenciá-los no painel.

Com papéis de pasta e projeto, os usuários com papéis do Security Command Center podem gerenciar recursos e descobertas em projetos ou pastas designados. Por exemplo, um engenheiro de segurança pode ter acesso limitado a pastas e projetos selecionados, enquanto um administrador de segurança pode gerenciar todos os recursos no nível da organização.

Os papéis de pasta e de projeto permitem que as permissões do Security Command Center sejam aplicadas em níveis inferiores da hierarquia de recursos da organização, mas sem alterar a hierarquia. A figura a seguir ilustra um usuário com permissões do Security Command Center para acessar descobertas em um projeto.

Os usuários com papéis no nível da pasta e do projeto veem um subconjunto dos recursos da organização. As ações realizadas são limitadas ao mesmo escopo. Por exemplo, se um usuário tiver permissões em uma pasta, ele poderá acessar recursos em qualquer projeto nessa pasta. As permissões para um projeto fornecem aos usuários acesso a recursos nesse projeto.

Para instruções sobre como gerenciar papéis e permissões, consulte Gerenciar o acesso a projetos, pastas e organizações.

Restrições de papel

Ao conceder papéis do Security Command Center no nível da pasta ou do projeto, os administradores do Security Command Center Premium podem fazer o seguinte:

limitar a visualização do Security Command Center ou editar permissões para pastas e projetos específicos
Conceder permissões de visualização e edição para grupos de recursos ou descobertas para usuários ou equipes específicos
restringir a capacidade de visualizar ou editar detalhes da descoberta, incluindo atualizações para marcações de segurança e estados de descoberta, para indivíduos ou grupos com acesso à descoberta subjacente
Controlar o acesso às configurações do Security Command Center, que só pode ser visualizado por pessoas com papéis no nível da organização

Funções do Security Command Center

As funções do Security Command Center Premium também são restritas com base nas permissões de visualização e edição.

O painel do Security Command Center permite que indivíduos sem permissões no nível da organização escolham recursos aos quais têm acesso. A seleção atualiza todos os elementos da interface do usuário, incluindo controles de recursos, descobertas e configurações. Os usuários veem claramente os privilégios anexados aos papéis e se podem acessar ou editar as descobertas no escopo atual.

A API Security Command Center e a ferramenta de linha de comando gcloud também restringem as funções a pastas e projetos prescritos. Se as chamadas para listar ou agrupar recursos e descobertas forem feitas por usuários que tenham papéis de pasta ou projeto, somente descobertas ou recursos nesses escopos serão retornados.

As chamadas para criar ou atualizar descobertas e encontrar notificações são compatíveis apenas com o escopo da organização. Você precisa de papéis no nível da organização para executar essas tarefas.

Recursos pai para descobertas

Normalmente, uma descoberta é anexada a um recurso, como uma máquina virtual (VM, na sigla em inglês) ou firewall. O Security Command Center anexa as descobertas ao contêiner mais imediato do recurso que gerou a descoberta. Por exemplo, se uma VM gerar uma descoberta, a descoberta será anexada ao projeto que contém a VM. As descobertas que não estão conectadas a um recurso do Google Cloud são anexadas à organização e são visíveis para qualquer pessoa com as permissões do Security Command Center no nível da organização.

Papéis de IAM no Security Command Center

Veja a seguir uma lista de papéis do IAM disponíveis para o Security Command Center e as permissões incluídas neles. O Security Command Center Premium é compatível com a concessão desses papéis no nível da organização, da pasta ou do projeto. O Security Command Center Standard aceita apenas papéis de IAM no nível da organização.

Papel	Permissões
Administrador da Central de segurança (`roles/securitycenter.admin`) Acesso de administrador (superusuário) à Central de segurança Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	appengine.applications.get cloudsecurityscanner.* compute.addresses.list resourcemanager.folders.get resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list securitycenter.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Editor administrador da Central de segurança (`roles/securitycenter.adminEditor`) Acesso de leitura/gravação de administrador à Central de segurança Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	appengine.applications.get cloudsecurityscanner.* compute.addresses.list resourcemanager.folders.get resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list securitycenter.assets.* securitycenter.assetsecuritymarks.* securitycenter.containerthreatdetectionsettings.calculate securitycenter.containerthreatdetectionsettings.get securitycenter.eventthreatdetectionsettings.calculate securitycenter.eventthreatdetectionsettings.get securitycenter.findingexternalsystems.* securitycenter.findings.* securitycenter.findingsecuritymarks.* securitycenter.muteconfigs.* securitycenter.notificationconfig.* securitycenter.organizationsettings.get securitycenter.securitycentersettings.get securitycenter.securityhealthanalyticssettings.calculate securitycenter.securityhealthanalyticssettings.get securitycenter.sources.get securitycenter.sources.list securitycenter.sources.update securitycenter.subscription.* securitycenter.userinterfacemetadata.* securitycenter.websecurityscannersettings.calculate securitycenter.websecurityscannersettings.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Leitor administrador da Central de segurança (`roles/securitycenter.adminViewer`) Acesso de leitura de administrador à Central de segurança Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.results.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.getSummary cloudsecurityscanner.scanruns.list cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list resourcemanager.folders.get resourcemanager.organizations.get resourcemanager.projects.get securitycenter.assets.group securitycenter.assets.list securitycenter.assets.listAssetPropertyNames securitycenter.containerthreatdetectionsettings.calculate securitycenter.containerthreatdetectionsettings.get securitycenter.eventthreatdetectionsettings.calculate securitycenter.eventthreatdetectionsettings.get securitycenter.findings.group securitycenter.findings.list securitycenter.findings.listFindingPropertyNames securitycenter.muteconfigs.get. securitycenter.muteconfigs.list securitycenter.notificationconfig.get securitycenter.notificationconfig.list securitycenter.organizationsettings.get securitycenter.securitycentersettings.get securitycenter.securityhealthanalyticssettings.calculate securitycenter.securityhealthanalyticssettings.get securitycenter.sources.get securitycenter.sources.list securitycenter.subscription.* securitycenter.userinterfacemetadata.* securitycenter.websecurityscannersettings.calculate securitycenter.websecurityscannersettings.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Gravador de marcações de segurança de recursos da Central de segurança (`roles/securitycenter.assetSecurityMarksWriter`) Acesso de gravação à marcação de segurança de recursos Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	securitycenter.assetsecuritymarks.* securitycenter.userinterfacemetadata.*
Executor de detecção de recursos da Central de segurança (`roles/securitycenter.assetsDiscoveryRunner`) Acesso de detecção de recursos em execução Recursos de nível mais baixo em que é possível conceder esse papel: Organização	securitycenter.assets.runDiscovery securitycenter.userinterfacemetadata.*
Leitor de recursos da Central de segurança (`roles/securitycenter.assetsViewer`) Acesso de leitura a recursos Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	resourcemanager.folders.get resourcemanager.organizations.get resourcemanager.projects.get securitycenter.assets.group securitycenter.assets.list securitycenter.assets.listAssetPropertyNames securitycenter.userinterfacemetadata.*
Editor de sistemas externos da Central de segurança (`roles/securitycenter.externalSystemsEditor`) Acesso de gravação a sistemas externos da Central de segurança	securitycenter.findingexternalsystems.*
Gravador de marcações de segurança de descoberta da Central de segurança (`roles/securitycenter.findingSecurityMarksWriter`) Acesso de gravação à descoberta de marcações de segurança Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	securitycenter.findingsecuritymarks.* securitycenter.userinterfacemetadata.*
Editor de desativação de som em massa de descobertas da Central de segurança (`roles/securitycenter.findingsBulkMuteEditor`) Capacidade de desativar som de descobertas em massa	securitycenter.findings.bulkMuteUpdate
Editor de descobertas da Central de segurança (`roles/securitycenter.findingsEditor`) Acesso de leitura/gravação a descobertas Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	resourcemanager.folders.get resourcemanager.organizations.get resourcemanager.projects.get securitycenter.findings.bulkMuteUpdate securitycenter.findings.group securitycenter.findings.list securitycenter.findings.listFindingPropertyNames securitycenter.findings.setmute securitycenter.findings.setState securitycenter.findings.update securitycenter.sources.get securitycenter.sources.list securitycenter.userinterfacemetadata.*
Setter de desativação de som de descobertas da Central de segurança (`roles/securitycenter.findingsMuteSetter`) Definir acesso silencioso para descobertas	securitycenter.findings.setmute
Definidor de estado de descobertas da Central de segurança (`roles/securitycenter.findingsStateSetter`) Acesso de definição de estado a descobertas Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	securitycenter.findings.setState securitycenter.userinterfacemetadata.*
Leitor de descobertas da Central de segurança (`roles/securitycenter.findingsViewer`) Acesso de leitura a descobertas Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	resourcemanager.folders.get resourcemanager.organizations.get resourcemanager.projects.get securitycenter.findings.group securitycenter.findings.list securitycenter.findings.listFindingPropertyNames securitycenter.sources.get securitycenter.sources.list securitycenter.userinterfacemetadata.*
Definidor de estado de fluxo de trabalho de descobertas da Central de segurança ^Beta (`roles/securitycenter.findingsWorkflowStateSetter`) Define acesso de estado de fluxo de trabalho a descobertas Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	securitycenter.findings.setWorkflowState securitycenter.userinterfacemetadata.*
Editor de configurações de desativação de sons da Central de segurança (`roles/securitycenter.muteConfigsEditor`) Acesso de leitura/gravação às configurações de desativação de som da Central de segurança	securitycenter.muteconfigs.*
Leitor de configurações de desativação de som da Central de segurança (`roles/securitycenter.muteConfigsViewer`) Acesso de leitura às configurações de desativação de som da Central de segurança	securitycenter.muteconfigs.get. securitycenter.muteconfigs.list
Editor de configurações de notificação da Central de segurança (`roles/securitycenter.notificationConfigEditor`) Acesso de gravação às configurações de notificação Recursos de nível mais baixo em que é possível conceder esse papel: Organização	securitycenter.notificationconfig.* securitycenter.userinterfacemetadata.*
Leitor de configurações de notificação da Central de segurança (`roles/securitycenter.notificationConfigViewer`) Acesso de leitura às configurações de notificação Recursos de nível mais baixo em que é possível conceder esse papel: Organização	securitycenter.notificationconfig.get securitycenter.notificationconfig.list securitycenter.userinterfacemetadata.*
Administrador de configurações da Central de segurança (`roles/securitycenter.settingsAdmin`) Acesso de administrador (superusuário) às configurações da Central de segurança Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	securitycenter.containerthreatdetectionsettings.* securitycenter.eventthreatdetectionsettings.* securitycenter.muteconfigs.* securitycenter.notificationconfig.* securitycenter.organizationsettings.* securitycenter.securitycentersettings.* securitycenter.securityhealthanalyticssettings.* securitycenter.subscription.* securitycenter.userinterfacemetadata.* securitycenter.websecurityscannersettings.*
Editor de configurações da Central de segurança (`roles/securitycenter.settingsEditor`) Acesso de leitura e gravação às configurações da Central de segurança Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	securitycenter.containerthreatdetectionsettings.* securitycenter.eventthreatdetectionsettings.* securitycenter.muteconfigs.* securitycenter.notificationconfig.* securitycenter.organizationsettings.* securitycenter.securitycentersettings.* securitycenter.securityhealthanalyticssettings.* securitycenter.subscription.* securitycenter.userinterfacemetadata.* securitycenter.websecurityscannersettings.*
Leitor de configurações da Central de segurança (`roles/securitycenter.settingsViewer`) Acesso de leitura às configurações da Central de segurança Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	securitycenter.containerthreatdetectionsettings.calculate securitycenter.containerthreatdetectionsettings.get securitycenter.eventthreatdetectionsettings.calculate securitycenter.eventthreatdetectionsettings.get securitycenter.muteconfigs.get. securitycenter.muteconfigs.list securitycenter.notificationconfig.get securitycenter.notificationconfig.list securitycenter.organizationsettings.get securitycenter.securitycentersettings.get securitycenter.securityhealthanalyticssettings.calculate securitycenter.securityhealthanalyticssettings.get securitycenter.subscription.* securitycenter.userinterfacemetadata.* securitycenter.websecurityscannersettings.calculate securitycenter.websecurityscannersettings.get
Administrador de fontes da Central de segurança (`roles/securitycenter.sourcesAdmin`) Acesso de administrador a fontes Recursos de nível mais baixo em que é possível conceder esse papel: Organização	resourcemanager.organizations.get securitycenter.sources.* securitycenter.userinterfacemetadata.*
Editor de fontes da Central de segurança (`roles/securitycenter.sourcesEditor`) Acesso de leitura/gravação a fontes Recursos de nível mais baixo em que é possível conceder esse papel: Organização	resourcemanager.organizations.get securitycenter.sources.get securitycenter.sources.list securitycenter.sources.update securitycenter.userinterfacemetadata.*
Leitor de fontes da Central de segurança (`roles/securitycenter.sourcesViewer`) Acesso de leitura a fontes Recursos de nível mais baixo em que é possível conceder esse papel: Projeto	resourcemanager.organizations.get securitycenter.sources.get securitycenter.sources.list securitycenter.userinterfacemetadata.*

Papel: agente de serviço da Central de segurança

Quando você ativa o Security Command Center, uma conta de serviço é criada para você no formato service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com. Para usar o Security Command Center, a conta de serviço precisa receber o papel securitycenter.serviceAgent no nível da organização. Esse papel permite que a conta de serviço do Security Command Center crie e atualize a própria cópia dos metadados de inventário de recursos da sua organização de maneira contínua.

Você será solicitado a conceder esse papel à conta de serviço como parte do processo de integração do Security Command Center. É possível conceder todos os papéis necessários por meio da interface de integração ou, como alternativa, usar o gcloud para conceder papéis manualmente. Para instruções sobre como conceder papéis à conta de serviço, consulte Conceder permissões.

O papel securitycenter.serviceAgent inclui as seguintes permissões:

Papel Nome Descrição Permissões Menor recurso

Papel	Nome	Descrição	Permissões	Menor recurso
`roles/securitycenter.serviceAgent`	Agente de serviço da Central de segurança	Acesso para verificar os recursos do Google Cloud e importar verificações de segurança	Todas as permissões dos seguintes papéis: `appengine.appViewer` `cloudasset.viewer` `compute.viewer` `container.viewer` `dlpscanner.policyReader` `dlpscanner.scanReader` `dlp.jobsReader` Além das outras permissões a seguir: `resourcemanager.folders.list` `resourcemanager.folders.get` `resourcemanager.organizations.list` `resourcemanager.organizations.get` `resourcemanager.projects.list` `resourcemanager.projects.get` `resourcemanager.projects.getIamPolicy` `storage.buckets.get` `storage.buckets.list` `storage.buckets.getIamPolicy`	Organização

roles/securitycenter.serviceAgent

Agente de serviço da Central de segurança

Acesso para verificar os recursos do Google Cloud e importar verificações de segurança

Todas as permissões dos seguintes papéis:

appengine.appViewer
cloudasset.viewer
compute.viewer
container.viewer
dlpscanner.policyReader
dlpscanner.scanReader
dlp.jobsReader

Além das outras permissões a seguir:

resourcemanager.folders.list
resourcemanager.folders.get
resourcemanager.organizations.list
resourcemanager.organizations.get
resourcemanager.projects.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
storage.buckets.get
storage.buckets.list
storage.buckets.getIamPolicy

Organização

Para adicionar roles/securitycenter.serviceAgent, você precisa ter roles/resourcemanager.organizationAdmin. Para adicionar o papel a uma conta de serviço, execute:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com" \
  --role="roles/securitycenter.serviceAgent"

Substitua ORGANIZATION_ID pelo ID da organização.

Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.

Web Security Scanner

Os papéis do IAM determinam como usar o Web Security Scanner. As tabelas abaixo incluem cada papel do IAM disponível para o Web Security Scanner e os métodos disponíveis para ele. Conceda esses papéis no nível do projeto. Para oferecer aos usuários a capacidade de criar e gerenciar verificações de segurança, você pode adicionar usuários ao seu projeto e conceder permissões com as funções do IAM.

O Web Security Scanner é compatível com papéis básicos e papéis predefinidos que dão acesso mais granular aos recursos do Web Security Scanner.

Papéis básicos do IAM

Veja a seguir as permissões do Web Security Scanner concedidas por papéis básicos.

Role	Descrição
Proprietário	Acesso completo a todos os recursos do Web Security Scanner
Editor	Acesso completo a todos os recursos do Web Security Scanner
Leitor	Sem acesso ao Web Security Scanner

Papéis de IAM predefinidos

Veja a seguir as permissões do Web Security Scanner que são concedidas pelos papéis do Web Security Scanner.

Papel Permissões

Papel	Permissões
Editor do Web Security Scanner (`roles/cloudsecurityscanner.editor`) Acesso total a todos os recursos do Web Security Scanner Recursos de nível mais baixo em que você pode conceder esse papel: Projeto	appengine.applications.get cloudsecurityscanner.* compute.addresses.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Executor do Web Security Scanner (`roles/cloudsecurityscanner.runner`) Acesso de leitura a Scan e ScanRun, além da capacidade de iniciar verificações. Recursos de nível mais baixo em que você pode conceder esse papel: Projeto	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.list cloudsecurityscanner.scanruns.stop cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list cloudsecurityscanner.scans.run
Visualizador do Web Security Scanner (`roles/cloudsecurityscanner.viewer`) Acesso de leitura a todos os recursos do Web Security Scanner Recursos de nível mais baixo em que você pode conceder esse papel: Projeto	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.results.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.getSummary cloudsecurityscanner.scanruns.list cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Editor do Web Security Scanner
(roles/cloudsecurityscanner.editor)

Acesso total a todos os recursos do Web Security Scanner

Recursos de nível mais baixo em que você pode conceder esse papel:

Projeto

appengine.applications.get
cloudsecurityscanner.*
compute.addresses.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Executor do Web Security Scanner
(roles/cloudsecurityscanner.runner)

Acesso de leitura a Scan e ScanRun, além da capacidade de iniciar verificações.

Recursos de nível mais baixo em que você pode conceder esse papel:

Projeto

cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.scanruns.get
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scanruns.stop
cloudsecurityscanner.scans.get
cloudsecurityscanner.scans.list
cloudsecurityscanner.scans.run

Visualizador do Web Security Scanner
(roles/cloudsecurityscanner.viewer)

Acesso de leitura a todos os recursos do Web Security Scanner

Recursos de nível mais baixo em que você pode conceder esse papel:

Projeto

cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.results.*
cloudsecurityscanner.scanruns.get
cloudsecurityscanner.scanruns.getSummary
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scans.get
cloudsecurityscanner.scans.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.