目次

Google Cloud Platformサービスアカウントを作成する

Workload Securityで使用するGoogle Cloud Platform (GCP) サービスアカウントを作成できます。

Workload Securityで使用するGCPサービスアカウントを作成する理由については、 を参照してください.GCPアカウントを追加することのメリットは?

前提条件:Google APIを有効にする

Workload Security用のGCPサービスアカウントを作成する前に、既存のGCPアカウントでいくつかのGoogle APIを有効にする必要があります。

各プロジェクト内でこれらのAPIを有効にするには:

  1. 既存のGCPアカウントを使用してGCPにログインします。このアカウントには、Workload Securityで保護するVMを含むすべてのGCPプロジェクトへのアクセス権が必要です。
  2. 上部で、 Workload Securityに追加するVMを含むプロジェクトを選択します。複数のプロジェクトがある場合は、後から選択できます。 たとえば、次のとおりです。 Project01
    プロジェクトが選択されたGCPのウィンドウ
  3. 上部の [ Google Cloud Platform ] をクリックして、 [ Home ] 画面が表示されていることを確認します。
  4. 左側のツリーから、[ APIとサービス]→[ダッシュボード] を選択します。
  5. [ + ENABLE APIS ANDSERVICES]をクリックします。
  6. 検索ボックスに「cloud Resource Manager API」と入力し、 Cloud Resource Manager API ボックスをクリックします。
  7. [ ENABLE]をクリックします。
  8. 手順5〜7を繰り返し、compute engine APIを入力して、 Compute Engine API ボックスをクリックします。
  9. この手順の手順1〜9を、 Workload Securityに追加するVMを含む他のプロジェクトに対して繰り返します。

GCPでAPIを有効または無効にする方法の詳細については、Google Cloud APIスタートガイドを参照してください。

GCPサービスアカウントを作成する

サービスアカウントは、個々のエンドユーザではなく、アプリケーションまたは仮想マシンに関連付けられる特殊な種類のGoogleアカウントです。 Workload Securityは、サービスアカウントのIDを使用してGoogle APIを呼び出すため、ユーザが直接関与することはありません。

Workload Securityのサービスアカウントを作成するには、次の手順に従います。

  1. 開始する前に、GCP APIが有効になっていることを確認します (前提条件: Google APIを有効にするを参照)。
  2. 既存のGCPアカウントを使用してGCPにログインします。
  3. 上部でプロジェクトを選択します。複数のプロジェクトがある場合は、いずれかを選択できます。たとえば、Project01です。
  4. 上部の [ Google Cloud Platform ] をクリックして、ホーム画面が表示されていることを確認します。
  5. 左側のツリーから、[ IAM & admin]→[Service accounts] を選択します。
  6. クリックすると+ CREATESERVICE ACCOUNT
    GCPウィンドウ
  7. サービスアカウント名、ID、および説明を入力します。
    Create service accountが表示されたGCP画面
    たとえば、次のとおりです。

    • サービスアカウント名: GCP Workload Security
    • サービスアカウントID: gcp-deep-security@<your_project_ID>.iam.gserviceaccount.com
    • サービスアカウントの説明: GCP service account for connecting Workload Security to GCP
  8. [ Create]をクリックします。

  9. [ Select a role ] リストで、[ Compute Engine]→[Compute Viewer ] の役割を選択するか、[ Type to filter] 内をクリックして、「compute Viewer」と入力して検索します。
  10. [ CONTINUE]をクリックします。
    Create service accountが表示されたGCP画面
    Compute Viewerの役割が割り当てられました。

  11. + CREATE KEYをクリックします。
    Create service accountが表示されたGCP画面

  12. JSON を選択し、[ CREATE]をクリックします。
    GCP Create keyダイアログボックス
    キーが生成され、JSONファイルに配置されます。

  13. キー(JSONファイル)を安全な場所に保存します。

  14. JSONファイルは、後でアップロードできるようにアクセス可能な場所に置いてください。ファイルを移動または配布する必要がある場合は、安全な方法を使用してファイルを移動または配布してください。
  15. [ DONE]をクリックします。
    これで、必要な役割を持つGCPサービスアカウントとJSON形式のサービスアカウントキーが作成されました。サービスアカウントは、選択したプロジェクト (Project01) の下に作成されますが、追加のプロジェクトに関連付けることができます。

    IAM権限がシステム全体に反映されるまで、60秒から7分かかります。 GoogleドキュメントのIAMの概要 を参照してください。

GCPサービスアカウントにプロジェクトを追加する

GCPに複数のプロジェクトがある場合は、作成したサービスアカウントに関連付ける必要があります。後で Workload Securityにサービスアカウントを追加すると、 Workload Security コンソールですべてのプロジェクト(および基本となるVM)が表示されます。

プロジェクトが多数ある場合は、すべてのプロジェクトを1つのアカウントに追加するよりも、複数のGCPアカウントに分割する方が簡単な場合があります。複数のGCPアカウントの設定の詳細については、複数のGCPサービスアカウントの作成 を参照してください。

追加のプロジェクトを1つのサービスアカウントに関連付けるには、次の手順に従います。

  1. 開始する前に、 の手順を完了していることを確認してください。前提条件:Google APIを有効にする および GCPサービスアカウントを作成します。
  2. 作成したGCPサービスアカウントのメールを次のように指定します。
    1. GCPで、上部のリストから、GCPサービスアカウントを作成したプロジェクトを選択します (例: Project01)。
    2. 左側で、[ IAM&管理者]→[サービスアカウント]の順に展開します。
    3. メインペインで、 [ メール ] 列の下で、GCPサービスアカウントのメールを探します。例: gcp-deep-security@project01.iam.gserviceaccount.com
      サービスアカウントのメールには、そのサービスが作成されたプロジェクトの名前が含まれています。
    4. このアドレスをメモするか、クリップボードにコピーしてください。
  3. 引き続きGCPで、上部のリストから別のプロジェクトを選択して、そのプロジェクトに移動します。例: Project02
    プロジェクトが選択されたGCPウィンドウ
  4. 上部の [ Google Cloud Platform ] をクリックして、ホーム画面が表示されていることを確認します。
  5. 左側のツリー表示から、[ IAM&admin]→[IAM]の順にクリックします。
  6. メイン画面上部の[ ADD ]をクリックします。
  7. [ 新規メンバー ]フィールドに、Project01 GCPサービスアカウントのメールアドレスを貼り付けます。たとえば、次のとおりです。
    gcp-deep-security@project01.iam.gserviceaccount.com

    また、メールアドレスの入力を開始して、フィールドに自動入力することもできます。

  8. [ ロールの選択 ] の一覧で、[ Compute Engine]→[Compute Viewer] のロールを選択するか、[ Type to filter] 内をクリックして、「 compute viewer 」と入力して検索します。
    GCP [メンバーの追加] ウィンドウ

    Compute Viewerの役割を持つサービスアカウントが Project02に追加されました。

  9. [SAVE] をクリックします。

  10. GCPサービスアカウントに関連付けるプロジェクトごとに、この手順で手順1-9を繰り返します。

サービスアカウントの作成方法の詳細については、Googleドキュメントの ユーザ管理のサービスアカウントを使用するVMの作成 を参照してください。

作成したGCPアカウントを Workload Securityに追加する準備ができました。Google Cloud Platformアカウントの追加に進んでください。

複数のGCPサービスアカウントを作成する

通常は、Workload Securityの 単一のGCPサービスアカウントを作成を使用して、すべてのプロジェクトをそれに関連付けます。この設定は簡単で、プロジェクト数が少ない小規模な組織に適しています。ただし、多数のプロジェクトがある場合、すべてのプロジェクトを同じGCPサービスアカウントに配置すると、管理が困難になる可能性があります。このシナリオでは、複数のGCPサービスアカウントにプロジェクトを分割できます。次の手順例は、プロジェクトが組織の財務部門とマーケティング部門に分散している場合の設定方法を示しています。

  1. Workload Securityの Finance GCP Workload Security GCPサービスアカウントを作成します。
  2. 財務関連プロジェクトを Finance GCP Workload Securityに追加します。
  3. Workload Securityの Marketing GCP Workload Security GCPサービスアカウントを作成します。
  4. マーケティング関連のプロジェクトを Marketing GCP Workload Securityに追加します。
    詳細については、Google Cloud Platformサービスアカウントの作成 および サービスアカウントへのプロジェクトの追加 を参照してください。
  5. GCPサービスアカウントを作成したら、Google Cloud Platformアカウントを追加する の手順に従って、それらをWorkload Securityに1つずつ追加します。