Controle de acesso com o IAM

Esta página descreve como o Security Command Center usa o gerenciamento de identidade e acesso (IAM) para controlar o acesso a recursos em diferentes níveis da hierarquia de recursos.

O Security Command Center usa papéis do IAM para controlar quem pode fazer o que com recursos, descobertas e serviços de segurança no ambiente do Security Command Center. Você concede papéis a indivíduos e aplicativos, e cada papel fornece permissões específicas.

O Security Command Center Premium é compatível com a concessão de papéis do IAM nos níveis da organização, pasta e projeto. O Security Command Center Standard aceita apenas papéis de IAM no nível da organização.

Permissões

Para configurar o Security Command Center ou alterar a configuração da sua organização, você precisa dos dois papéis a seguir no nível da organização:

  • Administrador da organização (roles/resourcemanager.organizationAdmin)
  • Administrador da Central de segurança (roles/securitycenter.admin)

Se um usuário não precisar de permissões para edição, considere conceder a ele papéis de leitor. Para visualizar todos os recursos, descobertas e configurações no Security Command Center, os usuários precisam ter o papel Leitor da Central de segurança (roles/securitycenter.adminViewer) na organização.

Para restringir o acesso a pastas e projetos individuais, não conceda todos os papéis no nível da organização. Em vez disso, conceda os seguintes papéis no nível da pasta ou do projeto:

  • Leitor de recursos da Central de segurança (roles/securitycenter.assetsViewer)
  • Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer)

Papéis no nível da organização

Quando os papéis de IAM são aplicados no nível da organização, os projetos e as pastas em uma organização herdam os papéis e as permissões.

A figura a seguir ilustra uma hierarquia de recursos típica do Security Command Center com permissões concedidas no nível da organização.

Hierarquia de recursos e estrutura de permissões do Security Command Center
Hierarquia de recursos do Security Command Center e papéis no nível da organização (clique para ampliar)

Os papéis do IAM incluem permissões para visualizar, editar, atualizar, criar ou gerenciar recursos. Os papéis concedidos no nível da organização no Security Command Center permitem que os usuários realizem ações prescritas em descobertas, recursos e serviços de segurança em toda a organização. Por exemplo, um usuário com o papel de Editor de descobertas da Central de segurança (roles/securitycenter.findingsEditor) pode visualizar ou editar as descobertas anexadas a qualquer recurso em qualquer projeto ou pasta na organização. Com essa estrutura, não é necessário conceder papéis aos usuários em cada pasta ou projeto.

Para instruções sobre como gerenciar papéis e permissões, consulte Gerenciar o acesso a projetos, pastas e organizações.

Os papéis no nível da organização não são adequados para todos os casos de uso, especialmente para aplicativos confidenciais ou regimes de conformidade que exigem controles de acesso rigorosos. Para criar políticas de acesso detalhadas, o Security Command Center Premium permite conceder papéis nos níveis de pasta e projeto.

Papéis de pasta e projeto

O Security Command Center Premium permite conceder papéis do IAM do Security Command Center para pastas e projetos específicos, criando várias visualizações ou silos na sua organização. Conceda a usuários e grupos diferentes acessos e permissões para edição em pastas e projetos em toda a organização.

O vídeo a seguir descreve a compatibilidade do Security Command Center Premium com papéis no nível da pasta e do projeto e como gerenciá-los no painel.

Com papéis de pasta e projeto, os usuários com papéis do Security Command Center podem gerenciar recursos e descobertas em projetos ou pastas designados. Por exemplo, um engenheiro de segurança pode ter acesso limitado a pastas e projetos selecionados, enquanto um administrador de segurança pode gerenciar todos os recursos no nível da organização.

Os papéis de pasta e de projeto permitem que as permissões do Security Command Center sejam aplicadas em níveis inferiores da hierarquia de recursos da organização, mas sem alterar a hierarquia. A figura a seguir ilustra um usuário com permissões do Security Command Center para acessar descobertas em um projeto.

Hierarquia de recursos e estrutura de permissões do Security Command Center
Hierarquia de recursos do Security Command Center e papéis no nível do projeto: os itens tracejados estão inacessíveis (clique para ampliar)

Os usuários com papéis no nível da pasta e do projeto veem um subconjunto dos recursos da organização. As ações realizadas são limitadas ao mesmo escopo. Por exemplo, se um usuário tiver permissões em uma pasta, ele poderá acessar recursos em qualquer projeto nessa pasta. As permissões para um projeto fornecem aos usuários acesso a recursos nesse projeto.

Para instruções sobre como gerenciar papéis e permissões, consulte Gerenciar o acesso a projetos, pastas e organizações.

Restrições de papel

Ao conceder papéis do Security Command Center no nível da pasta ou do projeto, os administradores do Security Command Center Premium podem fazer o seguinte:

  • limitar a visualização do Security Command Center ou editar permissões para pastas e projetos específicos
  • Conceder permissões de visualização e edição para grupos de recursos ou descobertas para usuários ou equipes específicos
  • restringir a capacidade de visualizar ou editar detalhes da descoberta, incluindo atualizações para marcações de segurança e estados de descoberta, para indivíduos ou grupos com acesso à descoberta subjacente
  • Controlar o acesso às configurações do Security Command Center, que só pode ser visualizado por pessoas com papéis no nível da organização

Funções do Security Command Center

As funções do Security Command Center Premium também são restritas com base nas permissões de visualização e edição.

O painel do Security Command Center permite que indivíduos sem permissões no nível da organização escolham recursos aos quais têm acesso. A seleção atualiza todos os elementos da interface do usuário, incluindo controles de recursos, descobertas e configurações. Os usuários veem claramente os privilégios anexados aos papéis e se podem acessar ou editar as descobertas no escopo atual.

A API Security Command Center e a ferramenta de linha de comando gcloud também restringem as funções a pastas e projetos prescritos. Se as chamadas para listar ou agrupar recursos e descobertas forem feitas por usuários que tenham papéis de pasta ou projeto, somente descobertas ou recursos nesses escopos serão retornados.

As chamadas para criar ou atualizar descobertas e encontrar notificações são compatíveis apenas com o escopo da organização. Você precisa de papéis no nível da organização para executar essas tarefas.

Recursos pai para descobertas

Normalmente, uma descoberta é anexada a um recurso, como uma máquina virtual (VM, na sigla em inglês) ou firewall. O Security Command Center anexa as descobertas ao contêiner mais imediato do recurso que gerou a descoberta. Por exemplo, se uma VM gerar uma descoberta, a descoberta será anexada ao projeto que contém a VM. As descobertas que não estão conectadas a um recurso do Google Cloud são anexadas à organização e são visíveis para qualquer pessoa com as permissões do Security Command Center no nível da organização.

Papéis de IAM no Security Command Center

Veja a seguir uma lista de papéis do IAM disponíveis para o Security Command Center e as permissões incluídas neles. O Security Command Center Premium é compatível com a concessão desses papéis no nível da organização, da pasta ou do projeto. O Security Command Center Standard aceita apenas papéis de IAM no nível da organização.

Papel Permissões

Administrador da Central de segurança
(roles/securitycenter.admin)

Acesso de administrador (superusuário) à Central de segurança

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Editor administrador da Central de segurança
(roles/securitycenter.adminEditor)

Acesso de leitura/gravação de administrador à Central de segurança

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.assets.*
  • securitycenter.assetsecuritymarks.*
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findingexternalsystems.*
  • securitycenter.findings.*
  • securitycenter.findingsecuritymarks.*
  • securitycenter.muteconfigs.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Leitor administrador da Central de segurança
(roles/securitycenter.adminViewer)

Acesso de leitura de administrador à Central de segurança

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.muteconfigs.get.
  • securitycenter.muteconfigs.list
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Gravador de marcações de segurança de recursos da Central de segurança
(roles/securitycenter.assetSecurityMarksWriter)

Acesso de gravação à marcação de segurança de recursos

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • securitycenter.assetsecuritymarks.*
  • securitycenter.userinterfacemetadata.*

Executor de detecção de recursos da Central de segurança
(roles/securitycenter.assetsDiscoveryRunner)

Acesso de detecção de recursos em execução

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Organização
  • securitycenter.assets.runDiscovery
  • securitycenter.userinterfacemetadata.*

Leitor de recursos da Central de segurança
(roles/securitycenter.assetsViewer)

Acesso de leitura a recursos

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
  • securitycenter.userinterfacemetadata.*

Editor de sistemas externos da Central de segurança
(roles/securitycenter.externalSystemsEditor)

Acesso de gravação a sistemas externos da Central de segurança

  • securitycenter.findingexternalsystems.*

Gravador de marcações de segurança de descoberta da Central de segurança
(roles/securitycenter.findingSecurityMarksWriter)

Acesso de gravação à descoberta de marcações de segurança

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • securitycenter.findingsecuritymarks.*
  • securitycenter.userinterfacemetadata.*

Editor de desativação de som em massa de descobertas da Central de segurança
(roles/securitycenter.findingsBulkMuteEditor)

Capacidade de desativar som de descobertas em massa

  • securitycenter.findings.bulkMuteUpdate

Editor de descobertas da Central de segurança
(roles/securitycenter.findingsEditor)

Acesso de leitura/gravação a descobertas

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • securitycenter.findings.bulkMuteUpdate
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.findings.setmute
  • securitycenter.findings.setState
  • securitycenter.findings.update
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.*

Setter de desativação de som de descobertas da Central de segurança
(roles/securitycenter.findingsMuteSetter)

Definir acesso silencioso para descobertas

  • securitycenter.findings.setmute

Definidor de estado de descobertas da Central de segurança
(roles/securitycenter.findingsStateSetter)

Acesso de definição de estado a descobertas

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • securitycenter.findings.setState
  • securitycenter.userinterfacemetadata.*

Leitor de descobertas da Central de segurança
(roles/securitycenter.findingsViewer)

Acesso de leitura a descobertas

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • resourcemanager.folders.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.*

Definidor de estado de fluxo de trabalho de descobertas da Central de segurança Beta
(roles/securitycenter.findingsWorkflowStateSetter)

Define acesso de estado de fluxo de trabalho a descobertas

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • securitycenter.findings.setWorkflowState
  • securitycenter.userinterfacemetadata.*

Editor de configurações de desativação de sons da Central de segurança
(roles/securitycenter.muteConfigsEditor)

Acesso de leitura/gravação às configurações de desativação de som da Central de segurança

  • securitycenter.muteconfigs.*

Leitor de configurações de desativação de som da Central de segurança
(roles/securitycenter.muteConfigsViewer)

Acesso de leitura às configurações de desativação de som da Central de segurança

  • securitycenter.muteconfigs.get.
  • securitycenter.muteconfigs.list

Editor de configurações de notificação da Central de segurança
(roles/securitycenter.notificationConfigEditor)

Acesso de gravação às configurações de notificação

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Organização
  • securitycenter.notificationconfig.*
  • securitycenter.userinterfacemetadata.*

Leitor de configurações de notificação da Central de segurança
(roles/securitycenter.notificationConfigViewer)

Acesso de leitura às configurações de notificação

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Organização
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.userinterfacemetadata.*

Administrador de configurações da Central de segurança
(roles/securitycenter.settingsAdmin)

Acesso de administrador (superusuário) às configurações da Central de segurança

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.muteconfigs.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.*

Editor de configurações da Central de segurança
(roles/securitycenter.settingsEditor)

Acesso de leitura e gravação às configurações da Central de segurança

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.muteconfigs.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.*

Leitor de configurações da Central de segurança
(roles/securitycenter.settingsViewer)

Acesso de leitura às configurações da Central de segurança

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.muteconfigs.get.
  • securitycenter.muteconfigs.list
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.subscription.*
  • securitycenter.userinterfacemetadata.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get

Administrador de fontes da Central de segurança
(roles/securitycenter.sourcesAdmin)

Acesso de administrador a fontes

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Organização
  • resourcemanager.organizations.get
  • securitycenter.sources.*
  • securitycenter.userinterfacemetadata.*

Editor de fontes da Central de segurança
(roles/securitycenter.sourcesEditor)

Acesso de leitura/gravação a fontes

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Organização
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
  • securitycenter.userinterfacemetadata.*

Leitor de fontes da Central de segurança
(roles/securitycenter.sourcesViewer)

Acesso de leitura a fontes

Recursos de nível mais baixo em que é possível conceder esse papel:

  • Projeto
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.*

Papel: agente de serviço da Central de segurança

Quando você ativa o Security Command Center, uma conta de serviço é criada para você no formato service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com. Para usar o Security Command Center, a conta de serviço precisa receber o papel securitycenter.serviceAgent no nível da organização. Esse papel permite que a conta de serviço do Security Command Center crie e atualize a própria cópia dos metadados de inventário de recursos da sua organização de maneira contínua.

Você será solicitado a conceder esse papel à conta de serviço como parte do processo de integração do Security Command Center. É possível conceder todos os papéis necessários por meio da interface de integração ou, como alternativa, usar o gcloud para conceder papéis manualmente. Para instruções sobre como conceder papéis à conta de serviço, consulte Conceder permissões.

O papel securitycenter.serviceAgent inclui as seguintes permissões:

Papel Nome Descrição Permissões Menor recurso
roles/securitycenter.serviceAgent Agente de serviço da Central de segurança Acesso para verificar os recursos do Google Cloud e importar verificações de segurança

Todas as permissões dos seguintes papéis:

  • appengine.appViewer
  • cloudasset.viewer
  • compute.viewer
  • container.viewer
  • dlpscanner.policyReader
  • dlpscanner.scanReader
  • dlp.jobsReader

Além das outras permissões a seguir:

  • resourcemanager.folders.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • storage.buckets.get
  • storage.buckets.list
  • storage.buckets.getIamPolicy
Organização

Para adicionar roles/securitycenter.serviceAgent, você precisa ter roles/resourcemanager.organizationAdmin. Para adicionar o papel a uma conta de serviço, execute:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com" \
  --role="roles/securitycenter.serviceAgent"

Substitua ORGANIZATION_ID pelo ID da organização.

Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.

Web Security Scanner

Os papéis do IAM determinam como usar o Web Security Scanner. As tabelas abaixo incluem cada papel do IAM disponível para o Web Security Scanner e os métodos disponíveis para ele. Conceda esses papéis no nível do projeto. Para oferecer aos usuários a capacidade de criar e gerenciar verificações de segurança, você pode adicionar usuários ao seu projeto e conceder permissões com as funções do IAM.

O Web Security Scanner é compatível com papéis básicos e papéis predefinidos que dão acesso mais granular aos recursos do Web Security Scanner.

Papéis básicos do IAM

Veja a seguir as permissões do Web Security Scanner concedidas por papéis básicos.

Role Descrição
Proprietário Acesso completo a todos os recursos do Web Security Scanner
Editor Acesso completo a todos os recursos do Web Security Scanner
Leitor Sem acesso ao Web Security Scanner

Papéis de IAM predefinidos

Veja a seguir as permissões do Web Security Scanner que são concedidas pelos papéis do Web Security Scanner.

Papel Permissões

Editor do Web Security Scanner
(roles/cloudsecurityscanner.editor)

Acesso total a todos os recursos do Web Security Scanner

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Projeto
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Executor do Web Security Scanner
(roles/cloudsecurityscanner.runner)

Acesso de leitura a Scan e ScanRun, além da capacidade de iniciar verificações.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Projeto
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scanruns.stop
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • cloudsecurityscanner.scans.run

Visualizador do Web Security Scanner
(roles/cloudsecurityscanner.viewer)

Acesso de leitura a todos os recursos do Web Security Scanner

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Projeto
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.