Controle de acesso

Security Command Center

Os papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) determinam como usar a API Security Command Center. Veja a seguir uma lista de cada papel do IAM disponível para o Security Command Center e os métodos disponíveis. Aplique esses papéis no nível da organização.

Papel	Nome	Descrição	Permissões	Menor recurso
`roles/securitycenter.admin`	Administrador da Central de segurança	Acesso de administrador (superusuário) à Central de segurança	appengine.applications.get cloudsecurityscanner.* compute.addresses.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list securitycenter.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Organização
`roles/securitycenter.adminEditor`	Editor administrador da Central de segurança	Acesso de leitura/gravação de administrador à Central de segurança	appengine.applications.get cloudsecurityscanner.* compute.addresses.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list securitycenter.assets.* securitycenter.assetsecuritymarks.* securitycenter.findings.* securitycenter.findingsecuritymarks.* securitycenter.notificationconfig.* securitycenter.organizationsettings.get securitycenter.sources.get securitycenter.sources.list securitycenter.sources.update serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Organização
`roles/securitycenter.adminViewer`	Leitor administrador da Central de segurança	Acesso de leitura de administrador à Central de segurança	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.results.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.getSummary cloudsecurityscanner.scanruns.list cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list resourcemanager.organizations.get securitycenter.assets.group securitycenter.assets.list securitycenter.assets.listAssetPropertyNames securitycenter.findings.group securitycenter.findings.list securitycenter.findings.listFindingPropertyNames securitycenter.notificationconfig.get securitycenter.notificationconfig.list securitycenter.organizationsettings.get securitycenter.sources.get securitycenter.sources.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Organização
`roles/securitycenter.assetSecurityMarksWriter`	Editor de marcação de recursos da Central de segurança	Acesso de gravação à marcação de segurança de recursos	securitycenter.assetsecuritymarks.*	Organização
`roles/securitycenter.assetsDiscoveryRunner`	Executor de detecção de recursos da Central de segurança	Acesso de detecção de recursos em execução	securitycenter.assets.runDiscovery	Organização
`roles/securitycenter.assetsViewer`	Leitor de recursos da Central de segurança	Acesso de leitura a recursos	resourcemanager.organizations.get securitycenter.assets.group securitycenter.assets.list securitycenter.assets.listAssetPropertyNames	Organização
`roles/securitycenter.findingSecurityMarksWriter`	Editor de descoberta de marcações na Central de segurança	Acesso de gravação à descoberta de marcações de segurança	securitycenter.findingsecuritymarks.*	Organização
`roles/securitycenter.findingsEditor`	Editor de descobertas da Central de segurança	Acesso de leitura/gravação a descobertas	resourcemanager.organizations.get securitycenter.findings.* securitycenter.sources.get securitycenter.sources.list	Organização
`roles/securitycenter.findingsStateSetter`	Definidor de estado de descobertas da Central de segurança	Acesso de definição de estado a descobertas	securitycenter.findings.setState	Organização
`roles/securitycenter.findingsViewer`	Leitor de descobertas da Central de segurança	Acesso de leitura a descobertas	resourcemanager.organizations.get securitycenter.findings.group securitycenter.findings.list securitycenter.findings.listFindingPropertyNames securitycenter.sources.get securitycenter.sources.list	Organização
`roles/securitycenter.notificationConfigEditor`	Editor de configurações de notificação da Central de segurança	Acesso de gravação às configurações de notificação	securitycenter.notificationconfig.*
`roles/securitycenter.notificationConfigViewer`	Leitor de configurações de notificação da Central de segurança	Acesso de leitura às configurações de notificação	securitycenter.notificationconfig.get securitycenter.notificationconfig.list
`roles/securitycenter.sourcesAdmin`	Administrador de fontes da Central de segurança	Acesso de administrador a fontes	resourcemanager.organizations.get securitycenter.sources.*	Organização
`roles/securitycenter.sourcesEditor`	Editor de fontes da Central de segurança	Acesso de leitura/gravação a fontes	resourcemanager.organizations.get securitycenter.sources.get securitycenter.sources.list securitycenter.sources.update	Organização
`roles/securitycenter.sourcesViewer`	Leitor de fontes da Central de segurança	Acesso de leitura a fontes	resourcemanager.organizations.get securitycenter.sources.get securitycenter.sources.list	Organização

Papel: agente de serviço da Central de segurança

Quando você ativa o Security Command Center, uma conta de serviço é criada para você no formato service-org-organization-id@security-center-api.iam.gserviceaccount.com. Essa conta de serviço recebe automaticamente o papel securitycenter.serviceAgent no nível da organização. Esse papel permite que a conta de serviço do Security Command Center crie e atualize a própria cópia dos metadados de inventário de recursos da sua organização de maneira contínua.

Este papel securitycenter.serviceAgent é um papel interno que inclui as seguintes permissões:

Role Nome Descrição Permissões Menor recurso

Role	Nome	Descrição	Permissões	Menor recurso
`roles/securitycenter.serviceAgent`	Agente de serviço da Central de segurança	Acesso para verificar os recursos do Google Cloud e importar verificações de segurança	Todas as permissões dos seguintes papéis: `appengine.appViewer` `cloudasset.viewer` `compute.viewer` `container.viewer` `dlpscanner.policyReader` `dlpscanner.scanReader` `dlp.jobsReader` Além das outras permissões a seguir: `resourcemanager.folders.list` `resourcemanager.folders.get` `resourcemanager.organizations.list` `resourcemanager.organizations.get` `resourcemanager.projects.list` `resourcemanager.projects.get` `resourcemanager.projects.getIamPolicy` `storage.buckets.get` `storage.buckets.list` `storage.buckets.getIamPolicy`	Organização

roles/securitycenter.serviceAgent

Agente de serviço da Central de segurança

Acesso para verificar os recursos do Google Cloud e importar verificações de segurança

Todas as permissões dos seguintes papéis:

appengine.appViewer
cloudasset.viewer
compute.viewer
container.viewer
dlpscanner.policyReader
dlpscanner.scanReader
dlp.jobsReader

Além das outras permissões a seguir:

resourcemanager.folders.list
resourcemanager.folders.get
resourcemanager.organizations.list
resourcemanager.organizations.get
resourcemanager.projects.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
storage.buckets.get
storage.buckets.list
storage.buckets.getIamPolicy

Organização

Para adicionar roles/securitycenter.serviceAgent, você precisa ter roles/resourcemanager.organizationAdmin. Para adicionar o papel a uma conta de serviço, execute:

gcloud organizations add-iam-policy-binding organization-id \
  --member="serviceAccount:service-org-organization-id@security-center-api.iam.gserviceaccount.com" \
  --role="roles/securitycenter.serviceAgent"

Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.

Event Threat Detection

Os papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês) determinam como você pode usar a API Event Threat Detection. Veja abaixo uma lista de cada papel do IAM disponível para o Event Threat Detection e os métodos disponíveis para ele. Aplique esses papéis no nível da organização.

Papel	Nome	Descrição	Permissões	Menor recurso
`roles/threatdetection.editor`	Editor de configurações de detecção de ameaças ^Beta	Acesso de leitura/gravação a todas as configurações de detecção de ameaças	threatdetection.*	Organização
`roles/threatdetection.viewer`	Leitor de configurações de detecção de ameaças ^Beta	Acesso de leitura a todas as configurações de detecção de ameaças	threatdetection.detectorSettings.get threatdetection.sinkSettings.get threatdetection.sourceSettings.get	Organização

Web Security Scanner

Os papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês) determinam como você pode usar o Web Security Scanner. As tabelas abaixo incluem cada papel do IAM disponível para o Web Security Scanner e os métodos disponíveis para ele. Conceda esses papéis no nível do projeto. Para oferecer aos usuários a capacidade de criar e gerenciar verificações de segurança, você pode adicionar usuários ao seu projeto e conceder permissões com os papéis.

O Web Security Scanner é compatível com papéis primários e papéis predefinidos que dão acesso mais granular aos recursos do Web Security Scanner.

Papéis primários do IAM

Veja a seguir as permissões do Web Security Scanner concedidas por papéis primários.

Role	Descrição
Proprietário	Acesso completo a todos os recursos do Web Security Scanner
Editor	Acesso completo a todos os recursos do Web Security Scanner
Leitor	Sem acesso ao Web Security Scanner

Papéis de IAM predefinidos

Veja a seguir as permissões do Web Security Scanner que são concedidas pelos papéis do Web Security Scanner.

Papel	Nome	Descrição	Permissões	Menor recurso
`roles/cloudsecurityscanner.editor`	Editor do Web Security Scanner	Acesso total a todos os recursos do Web Security Scanner	appengine.applications.get cloudsecurityscanner.* compute.addresses.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projeto
`roles/cloudsecurityscanner.runner`	Executor do Web Security Scanner	Acesso de leitura ao Scan e ao ScanRun, além da capacidade de iniciar verificações	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.list cloudsecurityscanner.scanruns.stop cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list cloudsecurityscanner.scans.run	Projeto
`roles/cloudsecurityscanner.viewer`	Visualizador do Web Security Scanner	Acesso de leitura a todos os recursos do Web Security Scanner	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.results.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.getSummary cloudsecurityscanner.scanruns.list cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projeto

Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.