Workload Securityで使用するGoogle Cloud Platform (GCP) サービスアカウントを作成できます。
Workload Securityで使用するためにGCPサービスアカウントを作成する理由については、GCPアカウントを追加する利点は何ですか?を参照してください

前提条件:Google APIを有効にする 親トピック

Workload Security用のGCPサービスアカウントを作成する前に、既存のGCPアカウントでいくつかのGoogle APIを有効にする必要があります。
各プロジェクト内でこれらのAPIを有効にするには:

手順

  1. 既存のGCPアカウントを使用してGCPにログインします。このアカウントには、Workload Securityで保護するVMを含むすべてのGCPプロジェクトへのアクセス権が必要です。
  2. 上部で、Workload Securityに追加したいVMを含むプロジェクトを選択します。複数のプロジェクトがある場合は、後で選択できます。例えば: Project01
    google-gcp-select-proj=4bea8208-9983-4578-b7c0-f2195f2d29a7.png
  3. 上部の[Google Cloud Platform]をクリックして、[自宅]画面にいることを確認してください。
  4. 左側のツリーから[APIs & Services][ダッシュボード]を選択します。
  5. [+ ENABLE APIS AND SERVICES]をクリックします。
  6. 検索ボックスにクラウドリソースマネージャAPIを入力し、[Cloud Resource Manager API]ボックスをクリックしてください。
  7. [ENABLE]をクリックします。
  8. この手順のステップ5から7を繰り返し、compute engine APIを入力し、[Compute Engine API]ボックスをクリックします。
  9. この手順の手順1〜9を、 Workload Securityに追加するVMを含む他のプロジェクトに対して繰り返します。
    GCPでAPIを有効または無効にする方法の詳細については、Google Cloud APIの使用を開始するを参照してください。

GCPサービスアカウントを作成する 親トピック

サービスアカウントは、個々のエンドユーザではなく、アプリケーションまたは仮想マシンに関連付けられる特殊な種類のGoogleアカウントです。 Workload Securityは、サービスアカウントのIDを使用してGoogle APIを呼び出すため、ユーザが直接関与することはありません。
Workload Securityのサービスアカウントを作成するには、次の手順に従います。

手順

  1. 開始する前に、GCP APIを有効にしていることを確認してください (前提条件: Google APIを有効にするを参照)。
  2. 既存のGCPアカウントを使用してGCPにログインします。
  3. 上部でプロジェクトを選択します。複数のプロジェクトがある場合は、任意のプロジェクトを選択できます。例えば、Project01
  4. 上部の[Google Cloud Platform]をクリックして、ホーム画面にいることを確認してください。
  5. 左側のツリーから[IAM & admin][サービスアカウント]を選択します。
  6. [+ CREATE SERVICE ACCOUNT]をクリックします。
    google-gcp-create-svc-accnt=d757715b-75eb-47a2-b195-712045e114b9.png
  7. サービスアカウント名、ID、説明を入力してください。
    google-gcp-svc-accnt-details=8a124a70-0a82-48c6-9017-7deb3270bf9b.png
    例:
    • サービスアカウント名: GCP Workload Security
    • サービスアカウントID: gcp-deep-security@<your_project_ID>.iam.gserviceaccount.com
    • サービスアカウントの説明: Workload SecurityをGCPに接続するためのGCPサービスアカウント
  8. [作成] をクリックします。
  9. [役割を選択]リストで、[Compute Engine][Compute Viewer]ロールを選択するか、[Type to filter]エリア内をクリックしてcompute viewerと入力して見つけてください。
  10. [CONTINUE]をクリックして、Compute Viewerロールの割り当てを完了します。
    google-gcp-svc-accnt-roles=5faf06ed-2e56-4ff2-8eaa-7e8b46849ee9.png
  11. [+ CREATE KEY]をクリックします。
    google-gcp-create-key=09bd796a-15fc-43f7-abce-780ebf2436d8.png
  12. [JSON]を選択し、[CREATE]をクリックします。
    google-gcp-json=d3703797-908a-4fbf-86d2-687d3c102f35.png
    キーが生成され、JSONファイルに配置されます。
  13. キー(JSONファイル)を安全な場所に保存します。
  14. JSONファイルは、後でアップロードできるようにアクセス可能な場所に置いてください。ファイルを移動または配布する必要がある場合は、安全な方法を使用してファイルを移動または配布してください。
  15. [完了] をクリックします。
必要なロールを持つGCPサービスアカウントと、JSON形式のサービスアカウントキーを作成しました。サービスアカウントは選択されたプロジェクト (Project01) で作成されますが、追加のプロジェクトに関連付けることができます。
IAMの権限がシステム全体に伝播するまでに60秒から7分かかります。GoogleのドキュメントのIAMの概要を参照してください。

GCPサービスアカウントにプロジェクトを追加する 親トピック

GCPに複数のプロジェクトがある場合は、作成したサービスアカウントに関連付ける必要があります。後で Workload Securityにサービスアカウントを追加すると、 Workload Security コンソールですべてのプロジェクト(および基本となるVM)が表示されます。
複数のプロジェクトがある場合、すべてを1つのアカウントに追加するのではなく、複数のGCPアカウントに分ける方が簡単かもしれません。複数のGCPアカウントの設定の詳細については、複数のGCPサービスアカウントを作成するを参照してください。
追加のプロジェクトを1つのサービスアカウントに関連付けるには、次の手順に従います。

手順

  1. 開始する前に、前提条件: Google APIを有効にするおよびGCPサービスアカウントを作成するの手順を完了していることを確認してください。
  2. 作成したGCPサービスアカウントのメールを次のように指定します。
    1. GCPで、上部のリストからGCPサービスアカウントを作成したプロジェクト (例: [Project01]) を選択します。
    2. 左側で[IAM & Admin][サービスアカウント]を展開します。
    3. メインペインで、[メール]列の下を見てGCPサービスアカウントメールを見つけてください。例えば: gcp-deep-security@project01.iam.gserviceaccount.com サービスアカウントメールには、それが作成されたプロジェクトの名前が含まれています。
    4. このアドレスをメモするか、クリップボードにコピーしてください。
  3. まだGCPで、上部のリストから選択して別のプロジェクトに移動します。例えば、Project02
    google-gcp-proj02=f41f2793-1fad-41d9-8a64-10fc1f956644.png
  4. 上部の[Google Cloud Platform]をクリックして、ホーム画面にいることを確認してください。
  5. 左側のツリービューから、[IAM & admin][IAM]をクリックします。
  6. メインペインの上部にある[ADD]をクリックします。
  7. [New members]フィールドに、Project01 GCPサービスアカウントのメールアドレスを貼り付けます。例: gcp-deep-security@project01.iam.gserviceaccount.com
    また、メールアドレスの入力を開始して、フィールドに自動入力することもできます。
  8. [役割を選択]リストで、[Compute Engine][Compute Viewer]ロールを選択するか、[Type to filter]エリア内をクリックして[compute viewer]を入力して検索してください。
    google-gcp-members=37a25768-f3d5-4861-af27-6be71a89d647.png
    サービスアカウントにCompute Viewerロールを付与し、Project02に追加しました。
  9. [保存] をクリックします。
  10. GCPサービスアカウントに関連付けるプロジェクトごとに、この手順で手順1-9を繰り返します。
    サービスアカウントの作成方法について詳しくは、Google ドキュメントの ユーザ管理サービスアカウントを使用する VM の作成 を参照してください。

次に進む前に

これで、作成したGCPアカウントをWorkload Securityに追加する準備が整いました。Google Cloud Platformアカウントの追加に進んでください。

複数のGCPサービスアカウントを作成する 親トピック

通常、Workload Security用に単一のGCPサービスアカウントを作成し、すべてのプロジェクトをそれに関連付けます。この構成はシンプルで、プロジェクトが少ない小規模な組織に適しています。しかし、プロジェクトが多数ある場合、すべてを同じGCPサービスアカウントにまとめると管理が難しくなる可能性があります。このような場合、複数のGCPサービスアカウントにプロジェクトを分割することができます。以下の例では、組織の財務部門とマーケティング部門にプロジェクトが分散していると仮定して、その設定方法を示します。

手順

  1. Workload Security用のFinance GCP Workload Securityサービスアカウントを作成します。
  2. Finance関連プロジェクトをFinance GCP Workload Securityに追加してください。
  3. Workload Security用のマーケティングGCP Workload Securityサービスアカウントを作成します。
  4. マーケティング関連のプロジェクトをマーケティングGCP Workload Securityに追加します。詳細については、Google Cloud Platformサービスアカウントを作成するおよびサービスアカウントにさらにプロジェクトを追加するを参照してください
  5. GCPサービスアカウントを作成した後、Google Cloud Platformアカウントの追加の指示に従って、1つずつWorkload Securityに追加してください。