ビュー:
Workload Securityで使用するGoogle Cloud Platform (GCP) サービスアカウントを作成できます。
Workload Securityで使用するためにGCPサービスアカウントを作成する理由については、GCPアカウントを追加する利点は何ですか?を参照してください

前提条件:Google APIを有効にする 親トピック

Workload Security用のGCPサービスアカウントを作成する前に、既存のGCPアカウントでいくつかのGoogle APIを有効にする必要があります。
各プロジェクト内でこれらのAPIを有効にするには:

手順

  1. 既存のGCPアカウントを使用してGCPにログインします。このアカウントには、Workload Securityで保護するVMを含むすべてのGCPプロジェクトへのアクセス権が必要です。
  2. 上部で、Workload Securityに追加したいVMを含むプロジェクトを選択します。複数のプロジェクトがある場合は、後で選択できます。例えば: Project01
    google-gcp-select-proj=4bea8208-9983-4578-b7c0-f2195f2d29a7.png
  3. 上部の [Google Cloud Platform] をクリックして、[Home] 画面が表示されていることを確認します。
  4. 左側のツリーから[APIs & Services][Dashboard]を選択します。
  5. [+ ENABLE APIS AND SERVICES]をクリックします。
  6. 検索ボックスにcloud Resource Manager APIと入力し、[Cloud Resource Manager API] ボックスをクリックします。
  7. [有効にする]をクリックします。
  8. 手順5〜7を繰り返し、compute engine APIを入力して、[Compute Engine API] ボックスをクリックします。
  9. この手順の手順1〜9を、 Workload Securityに追加するVMを含む他のプロジェクトに対して繰り返します。
    GCPでAPIを有効または無効にする方法の詳細については、Google Cloud APIの使用を開始するを参照してください。

GCPサービスアカウントを作成する 親トピック

サービスアカウントは、個々のエンドユーザではなく、アプリケーションまたは仮想マシンに関連付けられる特殊な種類のGoogleアカウントです。 Workload Securityは、サービスアカウントのIDを使用してGoogle APIを呼び出すため、ユーザが直接関与することはありません。
Workload Securityのサービスアカウントを作成するには、次の手順に従います。

手順

  1. 開始する前に、GCP APIを有効にしていることを確認してください (前提条件: Google APIを有効にするを参照)。
  2. 既存のGCPアカウントを使用してGCPにログインします。
  3. 上部でプロジェクトを選択します。複数のプロジェクトがある場合は、任意のプロジェクトを選択できます。例えば、Project01
  4. 上部の [Google Cloud Platform] をクリックして、ホーム画面が表示されていることを確認します。
  5. 左側のツリーから[IAM & admin][サービスアカウント]を選択します。
  6. [+ CREATE SERVICE ACCOUNT]をクリックします。
    google-gcp-create-svc-accnt=d757715b-75eb-47a2-b195-712045e114b9.png
  7. サービスアカウント名、ID、および説明を入力してください。例:
    google-gcp-svc-accnt-details=8a124a70-0a82-48c6-9017-7deb3270bf9b.png
    • サービスアカウント名: GCP Workload Security
    • サービスアカウントID: gcp-deep-security@<your_project_ID>.iam.gserviceaccount.com
    • サービスアカウントの説明: Workload SecurityをGCPに接続するためのGCPサービスアカウント
  8. [作成]をクリックします。
  9. [役割を選択] リストで、[Compute Engine][ Compute Viewer] の役割を選択するか、[Type to filter] 内をクリックして、compute viewerと入力して検索します。
  10. [続行]をクリックします。これで、Compute Viewerロールが割り当てられました。
    google-gcp-svc-accnt-roles=5faf06ed-2e56-4ff2-8eaa-7e8b46849ee9.png
  11. [+ CREATE KEY]をクリックします。
    google-gcp-create-key=09bd796a-15fc-43f7-abce-780ebf2436d8.png
  12. [JSON]を選択し、[CREATE]をクリックします。
    google-gcp-json=d3703797-908a-4fbf-86d2-687d3c102f35.png
    キーが生成され、JSONファイルに配置されます。
  13. キー(JSONファイル)を安全な場所に保存します。
  14. JSONファイルは、後でアップロードできるようにアクセス可能な場所に置いてください。ファイルを移動または配布する必要がある場合は、安全な方法を使用してファイルを移動または配布してください。
  15. [ DONE]をクリックします。これで、必要な役割を持つGCPサービスアカウントとJSON形式のサービスアカウントキーが作成されました。サービスアカウントは、選択したプロジェクト (Project01) の下に作成されますが、追加のプロジェクトに関連付けることができます。
    IAMの権限がシステム全体に伝播するまでに60秒から7分かかります。GoogleのドキュメントのIAMの概要を参照してください。

GCPサービスアカウントにプロジェクトを追加する 親トピック

GCPに複数のプロジェクトがある場合は、作成したサービスアカウントに関連付ける必要があります。後で Workload Securityにサービスアカウントを追加すると、 Workload Security コンソールですべてのプロジェクト(および基本となるVM)が表示されます。
複数のプロジェクトがある場合、すべてを1つのアカウントに追加するのではなく、複数のGCPアカウントに分ける方が簡単かもしれません。複数のGCPアカウントの設定の詳細については、複数のGCPサービスアカウントを作成するを参照してください。
追加のプロジェクトを1つのサービスアカウントに関連付けるには、次の手順に従います。

手順

  1. 開始する前に、前提条件: Google APIを有効にするおよびGCPサービスアカウントを作成するの手順を完了していることを確認してください。
  2. 作成したGCPサービスアカウントのメールを次のように指定します。
    1. GCPで、上部のリストから、GCPサービスアカウントを作成したプロジェクトを選択します (例: [Project01])。
    2. 左側で[IAM & Admin][サービスアカウント]を展開します。
    3. メインペインで、[メール]列の下で、GCPサービスアカウントのメールを探します。例: gcp-deep-security@project01.iam.gserviceaccount.com サービスアカウントのメールには、そのサービスが作成されたプロジェクトの名前が含まれています。
    4. このアドレスをメモするか、クリップボードにコピーしてください。
  3. GCPにいる場合は、上部のリストから別のプロジェクトを選択して移動します。例えば: Project02
    google-gcp-proj02=f41f2793-1fad-41d9-8a64-10fc1f956644.png
  4. 上部の [Google Cloud Platform] をクリックして、ホーム画面が表示されていることを確認します。
  5. 左側のツリービューから、[IAM & admin][IAM]をクリックします。
  6. メイン画面の上部にある[ADD]をクリックします。
  7. [ 新規メンバー]フィールドに、Project01 GCPサービスアカウントのメールアドレスを貼り付けます。たとえば、次のとおりです。gcp-deep-security@project01.iam.gserviceaccount.com
    また、メールアドレスの入力を開始して、フィールドに自動入力することもできます。
  8. [Select a role] リストで、[Compute Engine][コンピュートビューアー] の役割を選択するか、[Type to filter] 内をクリックして、compute viewer と入力して検索します。
    google-gcp-members=37a25768-f3d5-4861-af27-6be71a89d647.png
    サービスアカウントにCompute Viewerロールを付与し、Project02に追加しました。
  9. [保存]をクリックします。
  10. GCPサービスアカウントに関連付けるプロジェクトごとに、この手順で手順1-9を繰り返します。
    サービスアカウントの作成方法について詳しくは、Google ドキュメントの ユーザ管理サービスアカウントを使用する VM の作成 を参照してください。
    GCPアカウントの作成が完了したので、Workload Securityに追加する準備が整いました。Google Cloud Platformアカウントの追加に進んでください。

複数のGCPサービスアカウントを作成する 親トピック

通常、Workload Security用に単一のGCPサービスアカウントを作成し、すべてのプロジェクトをそれに関連付けます。この構成はシンプルで、プロジェクトが少ない小規模な組織に適しています。しかし、プロジェクトが多数ある場合、すべてを同じGCPサービスアカウントにまとめると管理が難しくなる可能性があります。このような場合、複数のGCPサービスアカウントにプロジェクトを分割することができます。以下の手順例では、プロジェクトが組織の財務部門とマーケティング部門に分散していると仮定して、その設定方法を示します。

手順

  1. Workload Security用のFinance GCP Workload Security GCPサービスアカウントを作成します。
  2. 財務関連プロジェクトをFinance GCP Workload Securityに追加します。
  3. Workload Security用のMarketing GCP Workload Security GCPサービスアカウントを作成します。
  4. マーケティング関連のプロジェクトをMarketing GCP Workload Securityに追加します。詳細については、Google Cloud Platformサービスアカウントの作成およびサービスアカウントにプロジェクトを追加するを参照してください
  5. GCPサービスアカウントを作成した後、Google Cloud Platformアカウントの追加の指示に従って、それらを1つずつWorkload Securityに追加します。