セキュリティ運用コンソールで機能へのアクセスを制御する

Security Command Center Enterprise ティアには、Google Cloud コンソールと Security Operations コンソールの両方が用意されており、脆弱性、構成ミス、脅威を調査して修正できます。Security Command Center Enterprise ユーザーは、Google Cloud コンソールと Security Operations コンソールの両方で Security Command Center の機能にアクセスするための IAM 権限が必要です。

Google Security Operations には、Security Operations コンソールの SIEM 関連機能と SOAR 関連機能にアクセスできる一連の事前定義された IAM ロールがあります。Google Security Operations のロールには、プロジェクト レベルで付与できます。

Security Command Center には、Security Command Center Enterprise ティアに固有の Security Operations コンソールの機能にアクセスできる一連の事前定義された IAM ロールがあります。法的根拠には次のようなものがあります。

• セキュリティ センター管理編集閲覧者（roles/securitycenter.adminEditor）
• セキュリティ センター管理閲覧者roles/securitycenter.adminViewer（）

リスク ダッシュボードや検出結果など、Security Command Center 固有の機能をセキュリティ運用コンソールで表示するには、少なくとも roles/securitycenter.adminViewer ロールが必要です。組織レベルで Security Command Center のロールを付与します。

デプロイを計画する際は、以下を確認して、機能にアクセスする必要があるユーザーを特定します。

• Google Cloud コンソールの機能と検出結果へのユーザー アクセス権を付与するには、IAM によるアクセス制御をご覧ください。

• セキュリティ運用コンソールの SIEM 関連の脅威検出機能と調査機能へのユーザー アクセス権を付与するには、IAM を使用した機能のアクセス制御を構成するをご覧ください。

• セキュリティ運用コンソールの SOAR 関連の対応機能へのアクセス権をユーザーに付与するには、セキュリティ運用コンソールの SOAR 側で IAM ロールをマッピングするをご覧ください。また、セキュリティ運用コンソールの [SOAR 設定] で、SOAR 関連の IAM ロールを SOC ロール、権限グループ、環境にマッピングします。

• Google SecOps IAM 権限を使用してカスタム IAM ロールを作成するには、カスタムロールを作成してグループに割り当てるをご覧ください。

• ポスチャーの概要ページなど、Security Command Center Enterprise でのみ提供されるセキュリティ運用コンソールの機能にアクセスするには、Security Command Center Enterprise が有効になっている組織で、ユーザーに必要な IAM ロールを付与します。

機能へのアクセス権を付与する手順は、ID プロバイダの構成によって異なります。

• ID プロバイダとして Google Workspace または Cloud Identity を使用する場合は、ユーザーまたはグループにロールを直接付与します。これを行う方法の例については、 Google Cloud ID プロバイダを構成するをご覧ください。

• Workforce Identity 連携を使用してサードパーティの ID プロバイダ（Okta や Azure AD など）に接続する場合は、Workforce Identity プール内の ID または Workforce Identity プール内のグループにロールを付与します。

  Workforce Identity プールに SIEM 関連機能と SOAR 関連機能を付与する方法の例については、IAM を使用して機能アクセス制御を構成するをご覧ください。

  ワークフォース プールに、Security Operations コンソールの Security Command Center 固有の機能にアクセスするための権限が含まれていることを確認します。次に例を示します。

  • ワークフォース ID プール内のすべてのユーザーに Security Command Center 管理閲覧者のロールを付与するには、次のコマンドを実行します。

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --role roles/securitycenter.adminViewer \
        --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \
        --condition None
    

    以下を置き換えます。

    • ORGANIZATION_ID: 数値の組織 ID
    • WORKFORCE_POOL_ID: Workforce Identity プール ID 用に定義した値。

  • 特定のグループに Security Center 管理閲覧者のロールを付与するには、次のコマンドを実行します。

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --role roles/securitycenter.adminViewer \
        --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \
        --condition None
    

    GROUP_ID（マッピングされた google.groups クレーム内のグループ）を置き換えます。