File Storage Securityを展開した後、スタックを追加することをお勧めします。
トピック:
スタックをいくつ追加する必要がありますか? 
Storage Stack
各保護バケットごとに1つのStorage Stackが必要です。
追加できるStorage Stackの数に制限はありませんが、Stackの数が増えるとコストが高くなることに注意してください。スキャンするファイルが多数あり、多くのストレージアカウントに分散している場合は、
Storage Stackを1つだけ展開し、ファイルを関連するストレージアカウントに転送してスキャンし、スキャン後に元に戻すことを検討してください。この作業の一部を自動化するサンプルGoogle
Cloud機能を提供します。詳細については、 Post-Scan Action: GitHubのプロモートまたは隔離 を参照してください。
デプロイするStorage Stackの数はパフォーマンスに影響しないため、必要な数だけデプロイします。
Scanner Stack
通常、サイズに関係なく、デプロイメント全体に必要な Scanner Stack は1つだけです。これは、 Scanner Stack が負荷の増加を処理するために自動スケーリングするためです。(パフォーマンスの詳細については、スキャンにかかる時間はどれくらいですか?を参照してください)
スタックはどこに追加できますか?
特に記載がないかぎり、GCPの任意の場所にStackを追加できます。
TerraformがGCPプロジェクトにスタックをデプロイする方法
All-in-One Stackのデプロイ
下の図は、TerraformによってGCPプロジェクトにAll-in-One Stackがデプロイされる様子を示しています。GCPプロジェクトにGCP設定デプロイを適用してから、All-in-One
Stackデプロイを適用する必要があります。All-in-One Stackの各デプロイメントには、5個の Scanner Stackと20個の Storage Stackを含めることができます。スタック数が制限を超えた場合は、別のスタックデプロイメントを作成してスタック数を拡張する必要があります。
複数のGCPプロジェクトにまたがるスタックのデプロイ
次の図は、複数のGCPプロジェクトのシナリオでTerraformによってスタックがデプロイされる様子を示しています。GCPプロジェクトごとにGCP設定のデプロイを1回適用し、
Scanner Stack とStorage Stack のデプロイを個別に適用するだけです。Scanner Stack の各配置には、20 Scanner Stackを含めることができます。各
Storage Stack 配置には、20 Storage Stackを含めることができます。スタック数が制限を超えた場合は、別のスタックデプロイメントを作成してスタック数を拡張する必要があります。
All-in-one Stackの追加
スキャナーとStorage Stackのデプロイに関する情報については、GCPでのスキャナーとStorage Stackのデプロイを参照してください。
Scanner Stackの追加
Scanner Stack は個別に配信できますが、 Scanner Stackと Storage Stack を組み合わせて配信することをお勧めします。
以下の手順に従って、 Scanner Stack を追加します。
手順
- File Storage Securityコンソールで、に移動し、[Deploy]を選択します。
- スタックをデプロイするには、[Scanner Stack]を選択します。[Deploy Scanner Stack]ダイアログボックスが開きます。
- GCPアカウントにログインしていることを確認します。
注意
GCPアカウントは、まずCloud Oneクラウドプロバイダアカウントリストに接続する必要があります。GCPアカウントをTrend Cloud Oneに接続するを参照してください。 - サービスアカウントを取得します。
-
GCPプロジェクトIDを入力します。
-
[Get]をクリックしてください。
注意
スタックの起動時に、この情報をTerraformデプロイメントの[managementServiceAccountProjectID]および[managementServiceAccountID]変数に貼り付けます。
-
- Terraformのデプロイを設定して実行します。
-
[Launch Stack] をクリックして、GCP Cloud ShellでTerraformのデプロイを起動します。
-
[Trust Repo] チェックボックスをクリックしてオンにします。
-
プロジェクトを設定します。
- [プロジェクトの設定]で、ドロップダウンリストからプロジェクトを選択します。
- Cloud Shellでスクリプトを実行します。
注意
プロジェクトIDがない場合は、作成する必要があります。- [プロジェクトの設定]で[**新規作成**]をクリックします。
- プロジェクトを作成します。
- [プロジェクトの設定]で、ドロップダウンリストからプロジェクトを選択します。
- Cloud Shellでスクリプトを実行します。
-
デプロイの権限を有効にします。File Storage Security スタックをデプロイする前に、プロジェクトに設定を適用し、カスタムの役割を作成する必要があります。[You only need to apply once on a GCP project for File Storage Security stack deployment]:
-
GCP設定のデプロイを適用します。必要なすべてのAPIを有効にし、必要なカスタムの役割をTerraformで作成します。
-
gcp-configurationフォルダ配下のterraform.tfvars.jsonにprojectIDを指定します。 -
役割のプレフィックスが必要な場合は、
terraform.tfvars.jsonでcustomRolePrefixを指定します。 -
Cloud ShellでTerraformテンプレートを適用します。
terraform -chdir=gcp-configuration init && terraform -chdir=gcp-configuration apply
-
-
-
スタックを設定してデプロイします。
scannersフォルダのterraform.tfvars.jsonで次のフィールドを指定し、Cloud ShellでTerraformテンプレートを適用します。注意
JSONオブジェクトscannerStacksには複数のスタックが存在する可能性があります。Terraformデプロイメントごとに20個の Storage Stack という制限があります。スタック数が制限を超えた場合は、Terraformで別のワークスペースを作成して、デプロイメントを分離してください。Terraform入力変数:- [projectID]: この配置のプロジェクトを指定します。
- [functionAutoUpdate]: リモートコードの自動アップデートを有効または無効にします。デフォルト値は
trueです。許可値:true、false。 - [customRolePrefix]: 必要に応じて、カスタムの役割のプレフィックスを指定します。
Scanner Stack:- <[SCANNER_STACK_NAME]>: Scanner Stackの名前を指定します。リソースプレフィックスとしての名前は、17文字未満である必要があります。キーを Scanner Stack 名に置き換えます。
- region: Scanner Stackのリージョンを指定します。サポートされているGCPリージョンの一覧については、サポートされているGCPリージョンを参照してください。
- [managementServiceAccountProjectID]: File Storage Security コンソールからサービスアカウントのプロジェクトIDをコピーして貼り付けます。
- [managementServiceAccountID]: File Storage Security コンソールからサービスアカウント情報をコピーして貼り付けます。
-
Cloud Shellでの初期化とデプロイ
```terraform -chdir=scanners init && terraform -chdir=scanners apply```
ヒント
terraform.tfstateとterraform.tfvars.jsonを保存して、配置を管理してください (スタックのアップデートと削除に必要になります)。リモート設定 を使用して、tfstateを安全な場所に保管することをお勧めします。
-
- File Storage Security コンソールで出力を設定します。デプロイプロセスを完了するには、スタックのデプロイ後に管理役割を設定します。
- TerraformのCloud Shell出力から、
scanner_stacks_ouputsの出力内容をコピーします。 - コンテンツを File Storage Security コンソールに貼り付けます。
ヒント
次のコマンドを使用して、Terraformの出力を取得できます。terraform output - TerraformのCloud Shell出力から、
- [Submit]をクリックします。
Storage Stackの追加
Storage Stack を Scanner Stackに追加できます。 Scanner Stackに関連付けられていないStorage Stackを追加することはできません。
GCPプロジェクトにAll-in-One Stackをすでにデプロイしていて、Scanner StackとStorage Stackを同じプロジェクトに保持する場合は、ストレージのJSONオブジェクトをAll-in-Oneの
terraform.tfvars.jsonに追加して管理するようにしてください。単一のTerraformデプロイメントでスタックを管理します。ScannerとStorageを別々のGCPプロジェクトにデプロイするには、次のデプロイを使用します。
Storage Stackを追加します。
手順
- File Storage Securityコンソールで、に移動し、[Deploy]を選択します。
- 選択Scanner Stackを使用します。
- [Add Storage]を選択します。[Add Storage Stack]ダイアログボックスが開きます。
- GCPアカウントにログインしていることを確認します。
- サービスアカウントを取得します。
- GCPプロジェクトIDを入力します。
- [Get]をクリックしてください。
注意
スタックの起動時に、この情報をTerraformデプロイメントの[managementServiceAccountProjectID]および[managementServiceAccountID]変数に貼り付けます。 - Terraformのデプロイを設定して実行します。
-
[Launch Stack] をクリックして、GCP Cloud ShellでTerraformのデプロイを起動します。
-
[Trust repo] チェックボックスをオンにして選択します。
-
プロジェクトを設定します。
- [プロジェクトの設定]で、ドロップダウンリストからプロジェクトを選択します。
- Cloud Shellでスクリプトを実行します。
注意
プロジェクトIDがない場合は、作成する必要があります。- [プロジェクトの設定]で[**新規作成**]をクリックします。
- プロジェクトを作成します。
- [プロジェクトの設定]で、ドロップダウンリストからプロジェクトを選択します。
- Cloud Shellでスクリプトを実行します。
-
デプロイの権限を有効にします。File Storage Security スタックをデプロイする前に、プロジェクトに設定を適用し、カスタムの役割を作成する必要があります。[You only need to apply once on a GCP project for File Storage Security stack deployment]:
-
GCP設定のデプロイを適用します。必要なすべてのAPIを有効にし、必要なカスタムの役割をTerraformで作成します。
-
gcp-configurationフォルダ配下のterraform.tfvars.jsonにGCPプロジェクトIDを指定します。 -
役割のプレフィックスが必要な場合は、
terraform.tfvars.jsonでcustomRolePrefixを指定します。 -
Cloud ShellでTerraformテンプレートを適用します。
terraform -chdir=gcp-configuration init && terraform -chdir=gcp-configuration apply
-
-
-
スタックを設定してデプロイします。
storagesフォルダのterraform.tfvars.jsonで次のフィールドを指定し、Cloud ShellでTerraformテンプレートを適用します。注意
JSONオブジェクトstorageStacksには複数のスタックが存在する可能性があります。Terraformデプロイメントごとに20個のStorage Stackという制限があります。スタック数が制限を超えた場合は、Terraformで別のワークスペースを作成してデプロイメントを分離してください。Terraform入力変数:- [projectID]: この配置のプロジェクトを指定します。
- [functionAutoUpdate]: リモートコードの自動アップデートを有効または無効にします。デフォルト値は
trueです。許可値:true、false。 - [customRolePrefix]: 必要に応じて、カスタムの役割のプレフィックスを指定します。
Storage Stack:- <[STORAGE_STACK_NAME]>: Storage Stackの名前を指定します。リソースプレフィックスとしての名前は、17文字未満である必要があります。キーを Storage Stack 名に置き換えます。
- [Scanner]: Scanner Stackを指定します。
- [scanningBucketName]: 保護する既存のバケット名を指定します。
- region: Storage Stackのリージョンを指定します。サポートされているGCPリージョンの一覧については、サポートされているGCPリージョンを参照してください。
- [managementServiceAccountProjectID]: File Storage Security コンソールからサービスアカウントのプロジェクトIDをコピーして貼り付けます。
- [managementServiceAccountID]: File Storage Security コンソールからサービスアカウントIDをコピーして貼り付けます。
- [scannerProjectID]: File Storage Security コンソールから Scanner のプロジェクトIDをコピーして貼り付けます。
- [scannerServiceAccountID]: File Storage Security のコンソールから、Scanner のサービスアカウント情報をコピーして貼り付けます。
- [scannerTopic]: File Storage Security コンソールから、 Scannerの Pub/Sub トピックをコピーして貼り付けます。
- [reportObjectKey]: 検索されたオブジェクトのオブジェクトキーを File Storage Security バックエンドサービスにレポートするには、
trueを選択します。File Storage Security は、イベントAPIの応答に不正なオブジェクトのオブジェクトキーを表示できます。値true、falseを許可します。 - [objectFilterPrefix]: バケットから検索するオブジェクトのプレフィックスを入力します。フィルタなしで検索するには、
''と入力します。
-
Cloud Shellでのデプロイの初期化と適用
terraform -chdir=storages init && terraform -chdir=storages apply
ヒント
terraform.tfstateとterraform.tfvars.jsonを保存して、配置を管理してください (スタックのアップデートと削除に必要になります)。リモート設定 を使用して、tfstateを安全な場所に保管することをお勧めします。
-
- File Storage Security コンソールで出力を設定します。デプロイプロセスを完了するには、スタックのデプロイ後に管理役割を設定します。
- TerraformのCloud Shell出力から、
storage_stacks_ouputsの出力内容をコピーします。 - コンテンツを File Storage Security コンソールに貼り付けます。
ヒント
次のコマンドを使用して、Terraformの出力を取得できます。terraform output - TerraformのCloud Shell出力から、
- [Submit]をクリックします。