Authentication

Esta página inclui informações de autenticação para o Security Command Center, o Event Threat Detection e o Web Security Scanner.

Autenticação do Security Command Center

Nesta seção, descrevemos como se autenticar no Security Command Center.

Métodos de autenticação compatíveis

O Security Command Center é compatível com os seguintes métodos de autenticação.

Contas de serviço

As contas de serviço são recomendadas em quase todos os casos de uso, seja durante o desenvolvimento local ou em um aplicativo de produção. Para um exemplo de como configurar a autenticação com uma conta de serviço, consulte Como acessar o Security Command Center programaticamente.

Para ver mais informações sobre como configurar a autenticação em um aplicativo de produção, consulte Como configurar a autenticação em aplicativos de produção de servidor para servidor.

Contas de usuário

Você pode autenticar usuários diretamente no seu aplicativo quando o aplicativo precisa acessar recursos em nome de um usuário final. No entanto, recomendamos o uso de uma conta de serviço para a maioria dos casos de uso.

As contas de usuário serão necessárias para acessar o Security Command Center se o aplicativo usar autenticação de usuário final. Nesse cenário, você precisa especificar os escopos do OAuth ao fazer uma chamada de método. Para escopos do OAuth por método, consulte a referência do Security Command Center.

Para mais informações sobre como configurar a autenticação com contas de usuário, consulte Como autenticar como usuário final.

Tokens do portador

Se você chamar a API Security Command Center diretamente, por exemplo, com uma solicitação HTTP com cURL, a autenticação será passada como um token do portador em um cabeçalho Authorization. Para receber um token do portador usando sua conta de serviço, faça o seguinte:

  1. Instale o gcloud command-line tool.
  2. Autentique-se à conta de serviço.

    gcloud auth activate-service-account --key-file KEY_FILE
    

    Substitua KEY_FILE pelo caminho para o arquivo de chave da conta de serviço.

  3. Receba um token de autorização usando a conta de serviço:

    gcloud auth print-access-token
    

    O comando retorna um valor de token de acesso.

  4. Ao chamar a API, transmita o valor do token como um token bearer em um cabeçalho Authorization:

    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer ACCESS_TOKEN' \
      'https://securitycenter.googleapis.com/API_VERSION/ORGANIZATION_ID \
    

    Substitua:

    • ACCESS_TOKEN pelo token de acesso.
    • API_VERSION pela versão da API que você está segmentando.
    • ORGANIZATION_ID pelo ID da organização.

Autenticação do Event Threat Detection

Nesta seção, descrevemos como se autenticar no Event Threat Detection.

Métodos de autenticação compatíveis

O Event Threat Detection é compatível com os métodos de autenticação a seguir.

Contas de serviço

As contas de serviço são recomendadas em quase todos os casos de uso, seja durante o desenvolvimento local ou em um aplicativo de produção.

Para ver mais informações sobre como configurar a autenticação em um aplicativo de produção, consulte Como configurar a autenticação em aplicativos de produção de servidor para servidor.

Contas de usuário

Você pode autenticar usuários diretamente no seu aplicativo quando o aplicativo precisa acessar recursos em nome de um usuário final. No entanto, recomendamos o uso de uma conta de serviço para a maioria dos casos de uso.

Alguns exemplos que justificam o uso de contas de usuário com o Event Threat Detection:

Se o aplicativo utiliza autenticação de usuário final, especifique os escopos de OAuth ao chamar um método. Consulte a referência do Security Command Center para ver escopos do OAuth por método.

Para mais informações sobre como configurar a autenticação com contas de usuário, consulte Como autenticar como usuário final.

Autenticação do Web Security Scanner

Nesta seção, você encontra informações sobre autenticação para chamar as APIs do Web Security Scanner.

Métodos de autenticação compatíveis

A API Web Security Scanner é compatível com os métodos de autenticação a seguir. Para fazer chamadas na API, use as técnicas descritas abaixo.

Contas de serviço

As contas de serviço são recomendadas em quase todos os casos de uso, seja durante o desenvolvimento local ou em um aplicativo de produção.

Siga as instruções criar uma conta de serviço para usá-la na autenticação do Web Security Scanner. Selecione JSON como o tipo de chave.

Depois de criar uma conta de serviço, a chave da sua conta de serviço será carregada para o local de downloads padrão do seu navegador.

Tokens do portador

Se você chamar a API Web Security Scanner diretamente, por exemplo, com uma solicitação HTTP com cURL, a autenticação será passada como um token do portador em um cabeçalho Authorization. Para receber um token do portador usando sua conta de serviço, faça o seguinte:

  1. Instale o gcloud command-line tool.
  2. Autentique-se à conta de serviço.

    gcloud auth activate-service-account --key-file KEY-FILE
    

    Substitua KEY_FILE pelo caminho para o arquivo de chave da conta de serviço.

  3. Receba um token de autorização usando a conta de serviço:

    gcloud auth print-access-token
    

    O comando retorna um valor de token de acesso.

  4. Ao chamar a API, transmita o valor do token como um token bearer em um cabeçalho Authorization:

    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer ACCESS_TOKEN' \
      'https://websecurityscanner.googleapis.com/v1/projects/PROJECT_ID/scanConfigs' \
    

Substitua:

  • ACCESS_TOKEN pelo token de acesso.
  • PROJECT_ID pela versão da API que você está segmentando.

Controle de acesso

Os papéis do Security Command Center são concedidos no nível da organização, da pasta ou do projeto. A capacidade de visualizar, editar, criar ou atualizar descobertas, recursos, fontes de segurança e marcas de segurança depende do nível ao qual você recebe acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Ao criar um aplicativo de produção, conceda a uma identidade apenas as permissões necessárias para interagir com recursos ou APIs do Google Cloud aplicáveis.

A seguir