在安全运行控制台中控制对功能的访问权限

Security Command Center 企业版层级同时提供 Google Cloud 控制台和 Security Operations 控制台,用于调查和修复漏洞、错误配置和威胁。Security Command Center 企业版用户需要拥有 IAM 权限,才能在 Google Cloud 控制台和安全运营控制台中访问 Security Command Center 功能。

Google Security Operations 提供了一组预定义的 IAM 角色,可让您在 Security Operations 控制台中访问与 SIEM 相关的功能与 SOAR 相关的功能。您可以在项目级授予 Google Security Operations 角色。

Security Command Center 提供了一组预定义的 IAM 角色,可让您在 Security Operations 控制台中访问 Security Command Center Enterprise 层级独有的功能。包括:

如需在安全运营控制台中查看 Security Command Center 专用功能(包括风险信息中心和发现结果),用户至少需要拥有 roles/securitycenter.adminViewer 角色。在组织级授予 Security Command Center 角色。

在规划部署时,请查看以下内容,确定哪些用户需要访问功能:

授予对功能的访问权限的步骤因身份提供程序配置而异。

  • 如果您使用 Google Workspace 或 Cloud Identity 作为身份提供方,则可以直接向用户或群组授予角色。如需查看具体实现方法的示例,请参阅配置 Google Cloud 身份提供方

  • 如果您使用员工身份联合功能连接到第三方身份提供方(例如 Okta 或 Azure AD),则可以向员工身份池中的身份或员工身份池中的群组授予角色。

    如需查看有关如何向员工身份池授予与 SIEM 相关的功能和与 SOAR 相关的功能的示例,请参阅使用 IAM 配置功能访问权限控制

    确保员工池具有访问 Security Operations 控制台中 Security Command Center 专用功能的权限。示例如下:

    • 如需向员工身份池中的所有用户授予 Security Center Admin Viewer 角色,请运行以下命令:

      gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --role roles/securitycenter.adminViewer \
    --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \
    --condition None

      替换以下内容:

      • ORGANIZATION_ID:组织的数字 ID。
      • WORKFORCE_POOL_ID:您为员工身份池 ID 定义的值。

    • 如需向特定组授予 Security Center Admin Viewer 角色,请运行以下命令:

      gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --role roles/securitycenter.adminViewer \
    --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \
    --condition None

      替换 GROUP_ID:映射的 google.groups 声明中的群组。