Cloud Accountsによってデプロイされたリソース

ビュー:

Cloud Accountsへの接続時にクラウド環境にデプロイされたサービスを確認します。

クラウドリソースをCloud Accountsアプリに接続すると、特定の機能とサービスが環境にデプロイされ、接続が容易になり、検出機能と対応機能が有効になります。次の表に、環境内に配置されたサービスを示します。

AWS

機能名	配信されたサービス (数)
主要な機能と権限	クラウドフォーメーションスタック (1) ネストされたCloudformationスタック (0~3) IAM管理ポリシー (3~4) IAM OIDCプロバイダ (1) IAMポリシー (2~4) IAMロール (3~5) ラムダ (2~4) ロググループ (2~3) カスタム (4) SSM (1)
Conformity(コア機能に含まれる)	IAM権限のみを使用
AWS CloudTrailのクラウド検出	単一アカウント: ラムダ (10-12) イベントブリッジ (1) IAM (7) SQS (1) Control Tower: ラムダ (10-12) イベントブリッジ (1) IAM (7) SQS (1) EventBridge (1) (ユーザ指定) SNS (1) (ユーザ指定)
AWSのクラウド対応	IAM権限のみを使用する IAMユーザの権限を取り消すためのIAMポリシーを1つ作成します。
AWS ECSのContainer Protection	Cloudformationスタックセット (1) IAMロール (8) ラムダ (4) ロググループ (5) カスタム (4) SQS (1) ECSタスク定義 (1) SSMパラメータ (1)
エージェントレスの脆弱性と脅威の検出	この機能では、アカウントの接続時に選択したリージョンに基本スタックがデプロイされ、監視対象の各リージョンに追加のリソースがデプロイされます。デプロイされるリソースの数は、監視対象のリージョンの数によって異なります。 Lambda (基本スタックに8、およびリージョンごとに24) S3バケット (リージョンごとに2) IAMロール (基本スタックに9、およびリージョンごとに25) イベントルール (基本スタックに2つ、およびリージョンごとに10個) SQS (リージョンごとに5) カスタム (基本スタックに5つ、およびリージョンごとに4つ) シークレット (基本スタックに 1 つ、およびリージョンごとに 1 つ) パラメータストアパラメータ (リージョンごとに1つ) ステップ関数 (リージョンごとに1)
File Security Storage	CloudFormationスタックセット (1) CloudFormationスタック (リージョンごとに1つ) EventBridge (1) IAMロール (13) IAMポリシー (4) SNSトピックス (1) SNSサブスクリプション (2) Lambdaのアクセス許可 (3) Lambda関数 (10) Lambda EventSourceMapping (4) SQSキュー (4) SQSキューポリシー (4) CloudWatch LogGroup (6) System Managerパラメータストア (3) カスタム (10)

Azure

機能名	配信されたサービス (数)
主要な機能と権限	[Resources:] アプリ登録 (1) フェデレーテッド認証情報 (1) アプリケーション (1) サービスプリンシパルの役割と役割の割り当て (1) [API Permissions:] Azure Active Directory グラフ (4) Directory.Read.All \| 委任 Directory.Read.All \| アプリケーションユーザ.Read \| 委任ユーザ.Read.All \| 委任 Microsoft Graph (4) Directory.Read.All \| アプリケーションユーザ.Read \| 委任ユーザ.Read.All \| 委任 User.Read.All \| アプリケーション
Conformity(コア機能に含まれる)	IAM権限のみを使用

機能名

配信されたサービス (数)

主要な機能と権限

[Resources:]

アプリ登録 (1)
フェデレーテッド認証情報 (1)
アプリケーション (1)
サービスプリンシパルの役割と役割の割り当て (1)

[API Permissions:]

Azure Active Directory グラフ (4)
- Directory.Read.All | 委任
- Directory.Read.All | アプリケーション
- ユーザ.Read | 委任
- ユーザ.Read.All | 委任
Microsoft Graph (4)
- Directory.Read.All | アプリケーション
- ユーザ.Read | 委任
- ユーザ.Read.All | 委任
- User.Read.All | アプリケーション

Conformity(コア機能に含まれる)

IAM権限のみを使用

Google Cloud

機能名	配信されたサービス (数)
主要な機能と権限	[Resources:] サービスアカウント (1) Workload Identityプールプロバイダ (1) IAM (3) タグキー (1) タグの値 (1) [Enabled APIs:] IAMサービスアカウントの認証情報クラウドリソースマネージャ IDとアクセス管理 Cloud Build 配信マネージャクラウド機能 Cloud Pub/Sub シークレットマネージャー
Conformity(コア機能に含まれる)	IAM権限のみを使用

機能名

配信されたサービス (数)

主要な機能と権限

[Resources:]

サービスアカウント (1)
Workload Identityプールプロバイダ (1)
IAM (3)
タグキー (1)
タグの値 (1)

[Enabled APIs:]

IAMサービスアカウントの認証情報
クラウドリソースマネージャ
IDとアクセス管理
Cloud Build
配信マネージャ
クラウド機能
Cloud Pub/Sub
シークレットマネージャー

Conformity(コア機能に含まれる)

IAM権限のみを使用