Controla el acceso a las funciones en las páginas de la consola de Operaciones de seguridad
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
El nivel Enterprise de Security Command Center incluye ciertas funciones disponibles en Google Security Operations. Investigarás y corregirás vulnerabilidades, errores de configuración y amenazas con las páginas de la consola deGoogle Cloud y la consola de Operaciones de seguridad.
Los usuarios de Security Command Center Enterprise necesitan permisos de IAM para acceder a las funciones de Security Command Center en las páginas de la consola de Google Cloud Google Cloud y de la consola de Operaciones de seguridad.
Google Security Operations tiene un conjunto de roles de IAM predefinidos que te permiten acceder a las funciones relacionadas con SIEM y las funciones relacionadas con SOAR en las páginas de la consola de Security Operations. Puedes otorgar los roles de Google Security Operations a nivel del proyecto.
Security Command Center tiene un conjunto de roles de IAM predefinidos que te permiten acceder a funciones en las páginas de la consola de Operaciones de seguridad que son exclusivas del nivel de Security Command Center Enterprise. Se incluyen las siguientes:
Para ver las funciones de Security Command Center disponibles en las páginas de la consola de Operaciones de seguridad, los usuarios necesitan, al menos, el rol de Visualizador administrador del centro de seguridad (roles/securitycenter.adminViewer). Otorga las funciones de Security Command Center a nivel de la organización.
Cuando planifiques la implementación, revisa lo siguiente para identificar qué usuarios necesitan acceso a las funciones:
Para otorgar acceso de usuario a las funciones y los resultados de la consola de Google Cloud , consulta Control de acceso con IAM.
Para otorgar acceso de usuario a las funciones de detección e investigación de amenazas relacionadas con el SIEM en las páginas de la consola de Security Operations, consulta Configura el control de acceso a funciones con IAM.
Para otorgar a los usuarios acceso a las funciones de respuesta relacionadas con SOAR en las páginas de la consola de Operaciones de seguridad, consulta Cómo asignar roles de IAM en el lado de SOAR de la consola de Operaciones de seguridad.
También puedes asignar los roles de IAM relacionados con SOAR a los roles del SOC, los grupos de permisos y los entornos en Configuración de SOAR.
Para acceder a las funciones disponibles con Security Command Center Enterprise, como la página de resumen de la postura, otorga a los usuarios los roles de IAM requeridos en la organización en la que se activó Security Command Center Enterprise.
Los pasos para otorgar acceso a las funciones varían según la configuración del proveedor de identidad.
Si usas Google Workspace o Cloud Identity como proveedor de identidad, otorgas roles directamente a un usuario o grupo. Consulta Configura un proveedor de identidad de Google Cloud para ver un ejemplo de cómo hacerlo.
Si usas la federación de identidades de personal para conectarte a un proveedor de identidad externo (como Okta o Azure AD), otorgas roles a las identidades de un grupo de identidades de personal o a un grupo dentro del grupo de identidades de personal.
Asegúrate de que los grupos de personal incluyan permisos para acceder a las funciones específicas de Security Command Center en las páginas de la consola de Security Operations. A continuación, se incluyen algunos ejemplos:
Para otorgar el rol de visualizador administrador del Centro de seguridad a todos los usuarios de un grupo de identidades de la fuerza laboral, ejecuta el siguiente comando:
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-05 (UTC)"],[],[],null,["| Enterprise [service tier](/security-command-center/docs/service-tiers)\n\nThe Security Command Center Enterprise tier includes certain features available\nfrom Google Security Operations. You investigate and remediate vulnerabilities,\nmisconfigurations, and threats using both\n[Google Cloud console and Security Operations console](/security-command-center/docs/scce-consoles-overview)\npages.\n\nSecurity Command Center Enterprise users need IAM permissions to access\nSecurity Command Center features in both the Google Cloud console and Security Operations console\npages.\n\nGoogle Security Operations has a set of predefined IAM roles that let\nyou access\n[SIEM-related features](/chronicle/docs/onboard/configure-feature-access#overview-perm-role)\nand\n[SOAR-related features](/security-command-center/docs/map-users-in-secops#grant-iam-roles-in-the-google-cloud-console)\nin Security Operations console pages. You can grant the Google Security Operations roles\nat the project level.\n\nSecurity Command Center has a set of predefined IAM roles that let you\naccess features in Security Operations console pages that are unique to the\nSecurity Command Center Enterprise tier. These include the following:\n\n- [Security Center Admin Editor Viewer (`roles/securitycenter.adminEditor`)](/iam/docs/understanding-roles#securitycenter.adminEditor)\n- [Security Center Admin Viewer (`roles/securitycenter.adminViewer`)](/iam/docs/understanding-roles#securitycenter.adminViewer)\n\nTo view Security Command Center features available in Security Operations console pages,\nusers need at least the **Security Center Admin Viewer** (`roles/securitycenter.adminViewer`)\nrole. Grant the Security Command Center roles at the organization level.\n\nAs you plan the deployment, review the following to identify which users need\naccess to features:\n\n- To grant user access to features and findings in the Google Cloud console,\n see [Access control with IAM](/security-command-center/docs/access-control).\n\n- To grant user access to SIEM-related threat detection and investigation\n features in Security Operations console pages, see\n [Configure feature access control using IAM](/chronicle/docs/onboard/configure-feature-access#overview-perm-role).\n\n- To grant users access to SOAR-related response features in Security Operations console pages,\n see [Map IAM roles in the SOAR side of the Security Operations console](/security-command-center/docs/map-users-in-secops).\n You also map the SOAR-related IAM roles to SOC roles,\n permission groups, and environments under **SOAR settings**.\n\n- To create custom IAM roles using Google SecOps\n IAM permissions, see\n [Create and assign a custom role to a group](/chronicle/docs/onboard/configure-feature-access#custom-role).\n\n- To access features available with Security Command Center Enterprise, such as the\n [Posture Overview page](/security-command-center/docs/toxic-combinations-manage#view_an_overview_of_all_toxic_combination_cases),\n grant users the [required IAM roles](/security-command-center/docs/how-to-use-security-command-center#required_permissions)\n in the organization where Security Command Center Enterprise is activated.\n\nThe steps to grant access to features is different depending on the identity\nprovider configuration.\n\n- If you use Google Workspace or Cloud Identity as the identity provider,\n you grant roles directly to a user or group. See\n [Configure a Google Cloud identity provider](/chronicle/docs/onboard/configure-cloud-authentication)\n for an example of how to do this.\n\n- If you use Workforce Identity Federation to connect to a third-party identity\n provider (such as Okta or Azure AD), you grant roles to identities in a\n workforce identity pool or to a group within the workforce identity pool.\n\n See [Configure feature access control using IAM](/chronicle/docs/onboard/configure-feature-access)\n for examples of how to grant SIEM-related features and SOAR-related features\n to a workforce identity pool.\n\n Make sure the workforce pools include permissions to access\n Security Command Center-specific features in Security Operations console pages. The following\n are examples:\n - To grant the Security Center Admin Viewer role to all users in a workforce\n identity pool, run the following command:\n\n gcloud organizations add-iam-policy-binding \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e \\\n --role roles/securitycenter.adminViewer \\\n --member \"principalSet://iam.googleapis.com/locations/global/workforcePools/\u003cvar translate=\"no\"\u003eWORKFORCE_POOL_ID\u003c/var\u003e/*\" \\\n --condition None\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the numeric organization ID.\n - \u003cvar translate=\"no\"\u003eWORKFORCE_POOL_ID\u003c/var\u003e: the value you defined for the workforce identity pool ID.\n - To grant the Security Center Admin Viewer roles to a specific group, run the following commands:\n\n gcloud organizations add-iam-policy-binding \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e \\\n --role roles/securitycenter.adminViewer \\\n --member \"principalSet://iam.googleapis.com/locations/global/workforcePools/\u003cvar translate=\"no\"\u003eWORKFORCE_POOL_ID\u003c/var\u003e/group/\u003cvar translate=\"no\"\u003eGROUP_ID\u003c/var\u003e\" \\\n --condition None\n\n Replace \u003cvar translate=\"no\"\u003eGROUP_ID\u003c/var\u003e: a group in the mapped `google.groups` claim."]]
