Controle de acesso

>

Nesta página, descrevemos como o Security Command Center usa o Gerenciamento de identidade e acesso (IAM, na sigla em inglês) para controlar o acesso a recursos em diferentes níveis da hierarquia de recursos.

O Security Command Center usa papéis do IAM para controlar quem pode fazer o que com recursos, descobertas e fontes de segurança no ambiente do Security Command Center. Você atribui papéis a indivíduos e aplicativos, e cada um deles fornece permissões específicas.

O Security Command Center Premium aceita a concessão de papéis do IAM nos níveis da organização, da pasta e do projeto. O Security Command Center Standard é compatível apenas com a concessão de papéis no nível da organização.

Permissões

Para configurar o Security Command Center ou alterar a configuração da organização, você precisa dos dois papéis a seguir no nível da organização:

  • Administrador da organização (roles/resourcemanager.organizationAdmin)
  • Administrador da Central de segurança (roles/securitycenter.admin)

Se um usuário não precisar de permissões de edição, considere conceder a ele papéis de visualizador. Para visualizar todos os recursos, descobertas e configurações no Security Command Center, os usuários precisam dos dois papéis a seguir no nível da organização:

  • Visualizador administrador da Central de segurança (roles/securitycenter.adminViewer)
  • Leitor da organização (roles/resourcemanager.organizationViewer)

Para restringir o acesso a pastas e projetos individuais, não conceda todos os papéis no nível da organização. Em vez disso, conceda roles/resourcemanager.organizationViewer no nível da organização e os papéis a seguir na pasta ou projeto nível:

  • Navegador (roles/browser)
  • Visualizador de recursos da Central de segurança (roles/securitycenter.assetsViewer)
  • Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer)

Papéis no nível da organização

Quando aplicados no nível da organização, os papéis do IAM e os projetos de uma organização herdam os papéis e as permissões.

A figura a seguir ilustra uma hierarquia típica de recursos do Security Command Center com papéis concedidos no nível da organização.

Estrutura de recursos do Security Command Center e estrutura de permissão
Hierarquia de recursos do Security Command Center e papéis no nível da organização (clique para ampliar)

Os papéis do IAM incluem permissões para visualizar, editar, atualizar, criar ou excluir recursos. Com os papéis concedidos no nível da organização no Security Command Center, é possível executar ações predeterminadas em descobertas, recursos e fontes de segurança em toda a organização. Por exemplo, um usuário com o papel de editor de descobertas da Central de segurança (roles/securitycenter.findingsEditor) pode visualizar ou editar as descobertas anexadas a qualquer recurso em qualquer projeto ou pasta da organização. Com ela, você não precisa conceder papéis de usuário a cada pasta ou projeto.

Para ver instruções sobre como gerenciar papéis e permissões, consulte Gerenciar o acesso a projetos, pastas e organizações.

Os papéis no nível da organização não são adequados para todos os casos de uso, especialmente para aplicativos confidenciais ou padrões de conformidade que exigem controles de acesso rigorosos. Para criar políticas de acesso otimizadas, o Security Command Center Premium permite atribuir papéis nos níveis de pasta e projeto.

Papéis de projeto e pasta

O Security Command Center Premium permite conceder papéis de IAM do Security Command Center para pastas e projetos específicos, criando várias visualizações ou silos dentro da organização. Você concede a usuários e grupos diferentes permissões de acesso e edição para pastas e projetos em toda a organização.

O vídeo a seguir descreve a compatibilidade do Security Command Center Premium para papéis de nível de projeto e de pasta e como gerenciá-los no painel.

Com papéis de pasta e projeto, os usuários com papéis do Security Command Center podem gerenciar recursos e descobertas em pastas ou projetos designados. Por exemplo, um engenheiro de segurança pode receber acesso limitado a pastas e projetos selecionados, enquanto um administrador de segurança pode gerenciar todos os recursos no nível da organização.

Os papéis de projeto e pasta permitem que as permissões do Security Command Center sejam aplicadas em níveis mais baixos da hierarquia de recursos da organização, mas não mudam de hierarquia. A figura a seguir ilustra um usuário com permissões do Security Command Center para acessar descobertas em um projeto específico.

Estrutura de recursos do Security Command Center e estrutura de permissão
Hierarquia de recursos do Security Command Center e papéis no nível do projeto: itens opacos estão inacessíveis (clique para ampliar)

Os usuários com papéis de pasta e projeto veem um subconjunto dos recursos de uma organização. Todas as ações realizadas são limitadas ao mesmo escopo. Por exemplo, se um usuário tiver permissões para uma pasta, ele poderá acessar recursos em qualquer projeto. As permissões de um projeto dão aos usuários acesso a recursos nesse projeto.

Para ver instruções sobre como gerenciar papéis e permissões, consulte Gerenciar o acesso a projetos, pastas e organizações.

Restrições de papel

Ao conceder papéis do Security Command Center para envolvidos no projeto ou na pasta, os administradores do Security Command Center Premium podem fazer o seguinte:

  • Limitar a visualização do Security Command Center ou editar permissões para pastas e projetos específicos
  • Conceder permissões de visualização e edição para grupos de recursos ou descobertas para equipes ou usuários específicos
  • Restringir a capacidade de visualizar ou editar detalhes de descobertas, incluindo atualizações de marcações de segurança e descoberta de estado, para indivíduos ou grupos com acesso à descoberta subjacente
  • Controle o acesso às configurações do Security Command Center, que só pode ser visualizado por indivíduos com papéis no nível da organização

Funções do Security Command Center

As funções do Security Command Center Premium também são restritas com base nas permissões de visualização e edição.

O painel do Security Command Center permite que pessoas sem permissões no nível da organização escolham recursos aos quais têm acesso. A seleção atualiza todos os elementos da interface do usuário, incluindo recursos, descobertas e controles de configurações. Os usuários veem os privilégios anexados aos respectivos papéis e se podem acessar ou editar as descobertas no escopo atual.

A API Security Command Center e a ferramenta de linha de comando gcloud também restringem as funções a pastas e projetos prescritos. Se as chamadas para listar ou agrupar recursos e descobertas forem feitas pelos usuários com papéis de pastas ou projetos, somente as descobertas ou os recursos nesses escopos serão retornados.

As chamadas para criar ou atualizar descobertas e encontrar notificações são compatíveis somente com o escopo da organização. Você precisa de papéis no nível da organização para realizar essas tarefas.

Recursos para descobertas

Geralmente, uma descoberta é anexada a um recurso, como uma máquina virtual (VM) ou firewall. O Security Command Center anexa as descobertas ao contêiner mais imediato para o recurso que gerou a descoberta. Por exemplo, se uma VM gerar uma descoberta, ela será anexada ao projeto que contém a VM. As descobertas que não estão conectadas a um recurso do Google Cloud são anexadas à organização e ficam visíveis para qualquer pessoa com permissões do Security Command Center no nível da organização.

Papéis de IAM no Security Command Center

Veja abaixo uma lista de papéis do IAM disponíveis para o Security Command Center e as permissões incluídas neles. O Premium Command Center Premium oferece a concessão desses papéis no nível da organização, pasta ou projeto. O Security Command Center Standard aceita apenas papéis de IAM no nível da organização.

Papel Nome Descrição Permissões Menor recurso
roles/securitycenter.admin Administrador da Central de segurança Acesso de administrador (superusuário) à Central de segurança
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projeto
roles/securitycenter.adminEditor Editor administrador da Central de segurança Acesso de leitura/gravação de administrador à Central de segurança
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.assets.*
  • securitycenter.assetsecuritymarks.*
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.*
  • securitycenter.findingsecuritymarks.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projeto
roles/securitycenter.adminViewer Leitor administrador da Central de segurança Acesso de leitura de administrador à Central de segurança
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projeto
roles/securitycenter.assetSecurityMarksWriter Editor de marcação de recursos da Central de segurança Acesso de gravação à marcação de segurança de recursos
  • securitycenter.assetsecuritymarks.*
  • securitycenter.userinterfacemetadata.*
Projeto
roles/securitycenter.assetsDiscoveryRunner Executor de detecção de recursos da Central de segurança Acesso de detecção de recursos em execução
  • securitycenter.assets.runDiscovery
  • securitycenter.userinterfacemetadata.*
Organização
roles/securitycenter.assetsViewer Leitor de recursos da Central de segurança Acesso de leitura a recursos
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
  • securitycenter.userinterfacemetadata.*
Projeto
roles/securitycenter.findingSecurityMarksWriter Editor de descoberta de marcações na Central de segurança Acesso de gravação à descoberta de marcações de segurança
  • securitycenter.findingsecuritymarks.*
  • securitycenter.userinterfacemetadata.*
Projeto
roles/securitycenter.findingsEditor Editor de descobertas da Central de segurança Acesso de leitura/gravação a descobertas
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.findings.setState
  • securitycenter.findings.update
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.*
Projeto
roles/securitycenter.findingsStateSetter Definidor de estado de descobertas da Central de segurança Acesso de definição de estado a descobertas
  • securitycenter.findings.setState
  • securitycenter.userinterfacemetadata.*
Projeto
roles/securitycenter.findingsViewer Leitor de descobertas da Central de segurança Acesso de leitura a descobertas
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.*
Projeto
roles/securitycenter.findingsWorkflowStateSetter Definidor de estado de fluxo de trabalho de descobertas da Central de segurança Beta Define acesso de estado de fluxo de trabalho a descobertas
  • securitycenter.findings.setWorkflowState
  • securitycenter.userinterfacemetadata.*
Projeto
roles/securitycenter.notificationConfigEditor Editor de configurações de notificação da Central de segurança Acesso de gravação às configurações de notificação
  • securitycenter.notificationconfig.*
  • securitycenter.userinterfacemetadata.*
Organização
roles/securitycenter.notificationConfigViewer Leitor de configurações de notificação da Central de segurança Acesso de leitura às configurações de notificação
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.userinterfacemetadata.*
Organização
roles/securitycenter.settingsAdmin Administrador de configurações da Central de segurança Acesso de administrador (superusuário) às configurações da Central de segurança
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.*
Projeto
roles/securitycenter.settingsEditor Editor de configurações da Central de segurança Acesso de leitura e gravação às configurações da Central de segurança
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.*
Projeto
roles/securitycenter.settingsViewer Leitor de configurações da Central de segurança Acesso de leitura às configurações da Central de segurança
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
Projeto
roles/securitycenter.sourcesAdmin Administrador de fontes da Central de segurança Acesso de administrador a fontes
  • resourcemanager.organizations.get
  • securitycenter.sources.*
  • securitycenter.userinterfacemetadata.*
Organização
roles/securitycenter.sourcesEditor Editor de fontes da Central de segurança Acesso de leitura/gravação a fontes
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
  • securitycenter.userinterfacemetadata.*
Organização
roles/securitycenter.sourcesViewer Leitor de fontes da Central de segurança Acesso de leitura a fontes
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.*
Projeto

Papel: agente de serviço da Central de segurança

Quando você ativa o Security Command Center, uma conta de serviço é criada para você no formato service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com. Para usar o Security Command Center, a conta de serviço precisa receber o papel securitycenter.serviceAgent no nível da organização. Com esse papel, a conta de serviço do Security Command Center cria e atualiza continuamente os próprios metadados de inventário de recursos da organização.

É necessário conceder esse papel à conta de serviço como parte do processo de integração do Security Command Center. É possível conceder todos os papéis necessários por meio da interface de integração ou, como alternativa, usar o gcloud para conceder papéis manualmente. Para ver instruções sobre a concessão de papéis à conta de serviço, consulte Conceder permissões.

O papel securitycenter.serviceAgent inclui as seguintes permissões:

Papel Nome Descrição Permissões Menor recurso
roles/securitycenter.serviceAgent Agente de serviço da Central de segurança Acesso para verificar os recursos do Google Cloud e importar verificações de segurança

Todas as permissões dos seguintes papéis:

  • appengine.appViewer
  • cloudasset.viewer
  • compute.viewer
  • container.viewer
  • dlpscanner.policyReader
  • dlpscanner.scanReader
  • dlp.jobsReader

Além das outras permissões a seguir:

  • resourcemanager.folders.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • storage.buckets.get
  • storage.buckets.list
  • storage.buckets.getIamPolicy
Organização

Para adicionar roles/securitycenter.serviceAgent, você precisa ter roles/resourcemanager.organizationAdmin. Para adicionar o papel a uma conta de serviço, execute:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com" \
  --role="roles/securitycenter.serviceAgent"

Substitua ORGANIZATION_ID pelo ID da organização.

Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.

Web Security Scanner

Os papéis do IAM definem como você pode usar o Web Security Scanner. As tabelas abaixo incluem todos os papéis do IAM disponíveis para o Web Security Scanner e os métodos disponíveis para eles. Conceda esses papéis no nível do projeto. Para oferecer aos usuários a capacidade de criar e gerenciar verificações de segurança, adicione usuários ao seu projeto e conceda permissões a eles usando os papéis.

O Web Security Scanner é compatível com papéis básicos e papéis predefinidos que dão acesso mais granular aos recursos do Web Security Scanner.

Papéis básicos do IAM

Veja a seguir as permissões do Web Security Scanner concedidas por papéis básicos.

Role Descrição
Proprietário Acesso completo a todos os recursos do Web Security Scanner
Editor Acesso completo a todos os recursos do Web Security Scanner
Leitor Sem acesso ao Web Security Scanner

Papéis de IAM predefinidos

Veja a seguir as permissões do Web Security Scanner que são concedidas pelos papéis do Web Security Scanner.

Papel Nome Descrição Permissões Menor recurso
roles/cloudsecurityscanner.editor Editor do Web Security Scanner Acesso total a todos os recursos do Web Security Scanner
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projeto
roles/cloudsecurityscanner.runner Executor do Web Security Scanner Acesso de leitura ao Scan e ao ScanRun, além da capacidade de iniciar verificações
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scanruns.stop
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • cloudsecurityscanner.scans.run
Projeto
roles/cloudsecurityscanner.viewer Visualizador do Web Security Scanner Acesso de leitura a todos os recursos do Web Security Scanner
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projeto

Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.