Controle de acesso

>

Security Command Center

Os papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) determinam como usar a API Security Command Center. Veja a seguir uma lista de cada papel do IAM disponível para o Security Command Center e os métodos disponíveis. Aplique esses papéis no nível da organização.

Papel Nome Descrição Permissões Menor recurso
roles/securitycenter.admin Administrador da Central de segurança Acesso de administrador (superusuário) à Central de segurança
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Organização
roles/securitycenter.adminEditor Editor administrador da Central de segurança Acesso de leitura/gravação de administrador à Central de segurança
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.assets.*
  • securitycenter.assetsecuritymarks.*
  • securitycenter.findings.*
  • securitycenter.findingsecuritymarks.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Organização
roles/securitycenter.adminViewer Leitor administrador da Central de segurança Acesso de leitura de administrador à Central de segurança
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • resourcemanager.organizations.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Organização
roles/securitycenter.assetSecurityMarksWriter Editor de marcação de recursos da Central de segurança Acesso de gravação à marcação de segurança de recursos
  • securitycenter.assetsecuritymarks.*
Organização
roles/securitycenter.assetsDiscoveryRunner Executor de detecção de recursos da Central de segurança Acesso de detecção de recursos em execução
  • securitycenter.assets.runDiscovery
Organização
roles/securitycenter.assetsViewer Leitor de recursos da Central de segurança Acesso de leitura a recursos
  • resourcemanager.organizations.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
Organização
roles/securitycenter.findingSecurityMarksWriter Editor de descoberta de marcações na Central de segurança Acesso de gravação à descoberta de marcações de segurança
  • securitycenter.findingsecuritymarks.*
Organização
roles/securitycenter.findingsEditor Editor de descobertas da Central de segurança Acesso de leitura/gravação a descobertas
  • resourcemanager.organizations.get
  • securitycenter.findings.*
  • securitycenter.sources.get
  • securitycenter.sources.list
Organização
roles/securitycenter.findingsStateSetter Definidor de estado de descobertas da Central de segurança Acesso de definição de estado a descobertas
  • securitycenter.findings.setState
Organização
roles/securitycenter.findingsViewer Leitor de descobertas da Central de segurança Acesso de leitura a descobertas
  • resourcemanager.organizations.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.sources.get
  • securitycenter.sources.list
Organização
roles/securitycenter.notificationConfigEditor Editor de configurações de notificação da Central de segurança Acesso de gravação às configurações de notificação
  • securitycenter.notificationconfig.*
roles/securitycenter.notificationConfigViewer Leitor de configurações de notificação da Central de segurança Acesso de leitura às configurações de notificação
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
roles/securitycenter.sourcesAdmin Administrador de fontes da Central de segurança Acesso de administrador a fontes
  • resourcemanager.organizations.get
  • securitycenter.sources.*
Organização
roles/securitycenter.sourcesEditor Editor de fontes da Central de segurança Acesso de leitura/gravação a fontes
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
Organização
roles/securitycenter.sourcesViewer Leitor de fontes da Central de segurança Acesso de leitura a fontes
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
Organização

Papel: agente de serviço da Central de segurança

Quando você ativa o Security Command Center, uma conta de serviço é criada para você no formato service-org-organization-id@security-center-api.iam.gserviceaccount.com. Essa conta de serviço recebe automaticamente o papel securitycenter.serviceAgent no nível da organização. Esse papel permite que a conta de serviço do Security Command Center crie e atualize a própria cópia dos metadados de inventário de recursos da sua organização de maneira contínua.

Este papel securitycenter.serviceAgent é um papel interno que inclui as seguintes permissões:

Role Nome Descrição Permissões Menor recurso
roles/securitycenter.serviceAgent Agente de serviço da Central de segurança Acesso para verificar os recursos do Google Cloud e importar verificações de segurança

Todas as permissões dos seguintes papéis:

  • appengine.appViewer
  • cloudasset.viewer
  • compute.viewer
  • container.viewer
  • dlpscanner.policyReader
  • dlpscanner.scanReader
  • dlp.jobsReader

Além das outras permissões a seguir:

  • resourcemanager.folders.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • storage.buckets.get
  • storage.buckets.list
  • storage.buckets.getIamPolicy
Organização

Para adicionar roles/securitycenter.serviceAgent, você precisa ter roles/resourcemanager.organizationAdmin. Para adicionar o papel a uma conta de serviço, execute:

gcloud organizations add-iam-policy-binding organization-id \
  --member="serviceAccount:service-org-organization-id@security-center-api.iam.gserviceaccount.com" \
  --role="roles/securitycenter.serviceAgent"

Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.

Event Threat Detection

Os papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês) determinam como você pode usar a API Event Threat Detection. Veja abaixo uma lista de cada papel do IAM disponível para o Event Threat Detection e os métodos disponíveis para ele. Aplique esses papéis no nível da organização.

Papel Nome Descrição Permissões Menor recurso
roles/threatdetection.editor Editor de configurações de detecção de ameaças Beta Acesso de leitura/gravação a todas as configurações de detecção de ameaças
  • threatdetection.*
Organização
roles/threatdetection.viewer Leitor de configurações de detecção de ameaças Beta Acesso de leitura a todas as configurações de detecção de ameaças
  • threatdetection.detectorSettings.get
  • threatdetection.sinkSettings.get
  • threatdetection.sourceSettings.get
Organização

Web Security Scanner

Os papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês) determinam como você pode usar o Web Security Scanner. As tabelas abaixo incluem cada papel do IAM disponível para o Web Security Scanner e os métodos disponíveis para ele. Conceda esses papéis no nível do projeto. Para oferecer aos usuários a capacidade de criar e gerenciar verificações de segurança, você pode adicionar usuários ao seu projeto e conceder permissões com os papéis.

O Web Security Scanner é compatível com papéis primários e papéis predefinidos que dão acesso mais granular aos recursos do Web Security Scanner.

Papéis primários do IAM

Veja a seguir as permissões do Web Security Scanner concedidas por papéis primários.

Role Descrição
Proprietário Acesso completo a todos os recursos do Web Security Scanner
Editor Acesso completo a todos os recursos do Web Security Scanner
Leitor Sem acesso ao Web Security Scanner

Papéis de IAM predefinidos

Veja a seguir as permissões do Web Security Scanner que são concedidas pelos papéis do Web Security Scanner.

Papel Nome Descrição Permissões Menor recurso
roles/cloudsecurityscanner.editor Editor do Web Security Scanner Acesso total a todos os recursos do Web Security Scanner
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projeto
roles/cloudsecurityscanner.runner Executor do Web Security Scanner Acesso de leitura ao Scan e ao ScanRun, além da capacidade de iniciar verificações
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scanruns.stop
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • cloudsecurityscanner.scans.run
Projeto
roles/cloudsecurityscanner.viewer Visualizador do Web Security Scanner Acesso de leitura a todos os recursos do Web Security Scanner
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projeto

Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.