控管 Security Operations 控制台頁面的功能存取權

Security Command Center Enterprise 級別包含 Google Security Operations 提供的特定功能。您可以使用 Google Cloud 控制台和 Security Operations 控制台頁面,調查及修正安全漏洞、設定錯誤和威脅。

Security Command Center Enterprise 使用者需要 IAM 權限,才能在 Google Cloud 控制台和 Security Operations 控制台頁面存取 Security Command Center 功能。

Google Security Operations 提供一組預先定義的 IAM 角色,可讓您在 Security Operations 控制台頁面中存取 SIEM 相關功能SOAR 相關功能。您可以在專案層級授予 Google Security Operations 角色。

Security Command Center 預先定義了一組 IAM 角色,可讓您存取 Security Operations 控制台頁面中的功能,這些功能是 Security Command Center Enterprise 級別專屬的。其中包括:

如要查看 Security Operations 控制台頁面提供的 Security Command Center 功能,使用者至少需要安全中心管理員檢視者 (roles/securitycenter.adminViewer) 角色。在機構層級授予 Security Command Center 角色。

規劃部署作業時,請參閱下列內容,找出需要存取功能的特定使用者:

授予功能存取權的步驟會因身分識別提供者設定而異。

  • 如果您使用 Google Workspace 或 Cloud Identity 做為身分識別提供者,可以直接將角色授予使用者或群組。如需相關範例,請參閱「設定身分識別提供者 Google Cloud 」。

  • 如果您使用員工身分聯盟連結至第三方識別資訊提供者 (例如 Okta 或 Azure AD),請將角色授予員工身分集區中的身分,或是員工身分集區中的群組。

    如需如何將 SIEM 和 SOAR 相關功能授予員工身分集區的範例,請參閱「使用 IAM 設定功能存取控管機制」。

    請確認工作站集區包含在 Security Operations 控制台頁面中存取 Security Command Center 特定功能的權限。以下為範例:

    • 如要將 Security Center 管理員檢視者角色授予工作人員身分集區中的所有使用者,請執行下列指令:

      gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --role roles/securitycenter.adminViewer \
    --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \
    --condition None

      更改下列內容:

      • ORGANIZATION_ID:組織的數字 ID。
      • WORKFORCE_POOL_ID:您為員工身分集區 ID 定義的值。

    • 如要將 Security Center 管理員檢視者角色授予特定群組,請執行下列指令:

      gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --role roles/securitycenter.adminViewer \
    --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \
    --condition None

      取代 GROUP_ID:對應 google.groups 聲明中的群組。