ビュー:
Server & Workload Protectionで使用するGoogle Cloud Platform (GCP) サービスアカウントを作成するために必要な情報は次のとおりです。
ヒント
ヒント
Server & Workload Protectionで使用するGCPサービスアカウントを作成する理由については、「 GCPアカウントを追加するメリットは何ですか?

前提条件: Google APIを有効にする 親トピック

Server & Workload ProtectionのGCPサービスアカウントを作成する前に、既存のGCPアカウントでいくつかのGoogle APIを有効にする必要があります。
次の手順に従って、各プロジェクト内でこれらのAPIを有効にします。

手順

  1. 既存のGCPアカウントを使用してGoogle Cloud Platformにログインします。このアカウントには、 Server & Workload Protectionで保護するVMを含むすべてのGCPプロジェクトへのアクセス権が必要です。
  2. 上部で、 Server & Workload Protectionに追加する仮想マシンを含むプロジェクトを選択します。複数のプロジェクトがある場合は、後で選択できます。例:Project01
    google-gcp-select-proj=23883865-a0fd-4d63-8a4f-dd6e4224ecf7.png
  3. 上部の [Google Cloud Platform] をクリックして、ホーム画面が表示されていることを確認します。
  4. 左側のツリービューから、[APIとサービス] [ダッシュボード]
  5. [+ APIとサービスの有効化]をクリックします。
  6. 検索ボックスに「Cloud Resource Manager API」と入力し、 [Cloud Resource Manager API] ボックスをクリックします。
  7. [有効化]をクリックします。
  8. この手順のステップ5~7を繰り返し、「compute engine API」と入力し、 [Compute Engine API] ボックスをクリックします。
  9. Server & Workload Protectionに追加する仮想マシンを含む他のプロジェクトについて、この手順の手順1~9を繰り返します。

次に進む前に

GCPでAPIを有効または無効にする方法の詳細については、Googleの次のページを参照してください。
https://cloud.google.com/apis/docs/getting-started

GCPサービスアカウントを作成する 親トピック

注意
注意
サービスアカウントは、個々のエンドユーザではなく、アプリケーションまたは仮想マシンに関連付けられる特殊な種類のGoogleアカウントです。 Server & Workload Protection は、サービスアカウントのIDを使用してGoogle APIを呼び出すため、ユーザが直接関与することはありません。
Server & Workload Protectionのサービスアカウントを作成するには、次の手順に従います。

手順

  1. 開始する前に、GCP APIが有効になっていることを確認してください。参照前提条件: Google APIを有効にする
  2. 既存のGCPアカウントを使用してGoogle Cloud Platformにログインします。
  3. 上部でプロジェクトを選択します。複数のプロジェクトがある場合は、いずれかを選択できます。例:Project01
  4. 上部の [Google Cloud Platform] をクリックして、ホーム画面が表示されていることを確認します。
  5. 左側のツリービューから、[IAMと管理] [サービスアカウント]
  6. [+ サービスアカウントの作成]をクリックします。
    google-gcp-create-svc-accnt=1c18388e-3d0e-4114-9f62-448e65a1514d.png
  7. サービスアカウントの名前、ID、および説明を入力します。
    google-gcp-svc-accnt-details=552e772b-a5dc-4a81-bb63-f075f62e77e0.png
    例:
    • サービスアカウント名:GCP Server & Workload Protection
    • サービスアカウントID:gcp-deep-security@<your_project_ID>.iam.gserviceaccount.com
    • サービスアカウントの説明: GCP service account for connecting Server & Workload Protection to GCP
  8. [作成]をクリックします。
  9. [役割を選択] ドロップダウンリストで、[Compute Engine] [コンピュート閲覧者]または、 [フィルタする文字列] 領域内をクリックし、「compute Viewer」と入力して検索します。
  10. [続行]をクリックします。
    google-gcp-svc-accnt-roles=98138a2b-6886-454f-aea7-98b6a38cbdcf.png
    これで、Compute Viewerの役割が割り当てられました。
  11. [+ キーの作成]をクリックします。
    google-gcp-create-key=107832a2-d06e-4678-8aa7-d362d67505a7.png
  12. [JSON] を選択し、 [作成]をクリックします。
    google-gcp-json=bd231946-280f-4547-ae80-c915fe45a7b9.png
    キーが生成され、JSONファイルに配置されます。
  13. キー (JSON ファイル) を安全な場所に保存します。
  14. 後でアップロードするためにアクセスできる場所にJSONファイルを配置します。ファイルを移動または配布する必要がある場合は、安全な方法を使用して実行してください。
  15. [完了]をクリックします。これで、必要な役割を持つGCPサービスアカウントとJSON形式のサービスアカウントキーが作成されました。サービスアカウントは、選択したプロジェクト (Project01) の下に作成されますが、追加のプロジェクトに関連付けることができます。詳細については、次のセクションを参照してください。
    注意
    注意
    IAM権限がシステム全体に反映されるまでに60秒から7分かかります。参照このGoogleの記事詳細については、

GCPサービスアカウントにプロジェクトを追加する 親トピック

GCPに複数のプロジェクトがある場合は、作成したサービスアカウントにプロジェクトを関連付ける必要があります。後でサービスアカウントを Server & Workload Protectionに追加すると、すべてのプロジェクト (および基盤となる仮想マシン) が Server & Workload Protection コンソールに表示されるようになります。
注意
注意
プロジェクトが多数ある場合は、以下で説明するように、すべてのプロジェクトを1つに追加するよりも、複数のGCPアカウントに分割する方が簡単な場合があります。複数のGCPアカウントの設定の詳細については、次を参照してください。複数のGCPサービスアカウントを作成する
追加のプロジェクトを1つのサービスアカウントに関連付けるには、次の手順に従います。

手順

  1. 開始する前に、次の手順を完了していることを確認してください。前提条件: Google APIを有効にするそしてGCPサービスアカウントを作成する
  2. 作成したGCPサービスアカウントのメールアドレスを次のように確認します。
    1. Google Cloud Platformで、上部のドロップダウンリストから、GCPサービスアカウントを作成したプロジェクト (この例では [Project01]) を選択します。
    2. 左側で展開します。[IAMと管理] [サービスアカウント]
    3. メインペインの [メール] 列で、GCPサービスアカウントのメールアドレスを探します。例: gcp-deep-security@project01.iam.gserviceaccount.com サービスアカウントのメールアドレスには、それが作成されたプロジェクトの名前が含まれます。
    4. このアドレスをメモするか、クリップボードにコピーします。
  3. 引き続きGoogle Cloud Platformで、上部のドロップダウンリストから別のプロジェクトを選択して、そのプロジェクトに移動します。例:Project02
    google-gcp-proj02=62ea9d4b-f895-4aef-b70c-646e6d8ec4b7.png
  4. 上部の [Google Cloud Platform] をクリックして、ホーム画面が表示されていることを確認します。
  5. 左側のツリービューで、[IAMと管理] [IAM]
  6. メインペインの上部にある [追加] をクリックします。
  7. [新しいメンバー]フィールドに、Project01 GCPサービスアカウントのメールアドレスを貼り付けます。例:gcp-deep-security@project01.iam.gserviceaccount.com
    ヒント
    ヒント
    メールアドレスの入力を開始して、フィールドに自動入力することもできます。
  8. [役割を選択]ドロップダウンリストで、[Compute Engine] [コンピュート閲覧者]ロールを選択するか、 [フィルタする文字列]領域内をクリックして次のように入力します。compute viewer検索します。
    google-gcp-members=b7c52c33-f708-4abc-beb3-9dc89ec2067c.png
    これで、Compute Viewerの役割を持つサービスアカウントが追加されました。Project02
  9. [保存]をクリックします。
  10. GCPサービスアカウントに関連付けるプロジェクトごとに、この手順の1~9を繰り返します。

次に進む前に

サービスアカウントの作成方法の詳細については、Googleの次のページを参照してください。https://cloud.google.com/compute/docs/access/create-enable-service-accounts-for-instances
これで、作成したGCPアカウントを Server & Workload Protectionに追加する準備ができました。に進むGoogle Cloud Platformアカウントの追加

複数のGCPサービスアカウントを作成する 親トピック

通常は、単一のGCPサービスアカウントを作成する Server & Workload Protection 用に作成し、すべてのプロジェクトをそれに関連付けます。この設定は簡単で、プロジェクト数が少ない小規模な組織に適しています。ただし、多数のプロジェクトがある場合、すべてのプロジェクトを同じGCPサービスアカウントに配置すると、管理が困難になる可能性があります。このシナリオでは、複数のGCPサービスアカウントにプロジェクトを分割できます。プロジェクトが組織の財務部門とマーケティング部門に分散していると仮定した場合の設定方法は次のとおりです。

手順

  1. 作成するFinance GCP Server & Workload ProtectionServer & Workload ProtectionのGCPサービスアカウント。
  2. 財務関連プロジェクトの追加先Finance GCP Server & Workload Protection
  3. 作成するMarketing GCP Server & Workload ProtectionServer & Workload ProtectionのGCPサービスアカウント。
  4. マーケティング関連プロジェクトの追加先 Marketing GCP Server & Workload Protection。詳細な手順については、 Google Cloud Platformサービスアカウントの作成そしてサービスアカウントにプロジェクトを追加を参照してください。
  5. GCPサービスアカウントを作成したら、手順に従って Server & Workload Protection に1つずつ追加します。 Google Cloud Platformアカウントの追加