Google Security Operations インスタンスのオンボーディングまたは移行

Google Security Operations は、Identity and Access Management、Cloud Monitoring、Cloud Audit Logs などの Google Cloud サービスとより緊密に統合するために、お客様が指定する Google Cloud プロジェクトにリンクしています。お客様は IAM と Workforce Identity 連携を使用することで、既存の ID プロバイダを使用して認証することができます。

次のドキュメントでは、新しい Google Security Operations インスタンスをオンボーディングするか、既存の Google Security Operations インスタンスを移行するプロセスについて説明します。

必要なロール

次のセクションでは、前のセクションで説明したオンボーディングプロセスの各フェーズで必要な権限について説明します。

Google Security Operations 用に Google Cloud プロジェクトを構成する

Google Security Operations 用に Google Cloud プロジェクトを構成するの手順を完了するには、次の IAM 権限が必要です。

組織レベルでプロジェクト作成者（resourcemanager.projects.create）の権限がある場合、プロジェクトを作成して Chronicle API を有効にするために追加の権限は必要ありません。

この権限がない場合は、プロジェクトレベルで次の権限が必要です。

ID プロバイダを構成する

Cloud Identity、Google Workspace、またはサードパーティの ID プロバイダ（Okta や Azure AD など）を使用してユーザー、グループ、認証を管理できます。

Cloud Identity または Google Workspace を構成する権限

Cloud Identity を使用している場合は、プロジェクト、フォルダ、組織へのアクセス権の管理に記載されているロールと権限が必要です。

Google Workspace をご利用の場合は、Cloud Identity 管理者アカウントをお持ちで、管理コンソールにログインできる必要があります。

Cloud Identity または Google Workspace を ID プロバイダとして使用する方法については、Google Cloud ID プロバイダを構成するをご覧ください。

サードパーティの ID プロバイダを構成するための権限

サードパーティの ID プロバイダを使用する場合は、Workforce Identity 連携と Workload Identity プールを構成します。

Google Security Operations 用のサードパーティ ID プロバイダを構成するの手順を完了するには、次の IAM 権限が必要です。

以前に作成した Google Security Operations にバインドされたプロジェクトに対するプロジェクト編集者権限。
組織レベルの IAM 人員プール管理者（roles/iam.workforcePoolAdmin）の権限。

次のコマンドを例として使用し、roles/iam.workforcePoolAdmin ロールを設定します。
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/iam.workforcePoolAdmin
```
以下を置き換えます。
- ORGANIZATION_ID: 数値の組織 ID
- USER_EMAIL: 管理者ユーザーのメールアドレス。

詳細については、サードパーティの ID プロバイダを構成するをご覧ください。

Google Security Operations インスタンスを Google Cloud サービスにリンクする

Google Security Operations を Google Cloud サービスにリンクするの手順を完了するには、Google Security Operations 用に Google Cloud プロジェクトを構成するセクションで定義されている同じ権限が必要です。

既存の Google SecOps インスタンスを移行する場合は、Google SecOps にアクセスするための権限が必要です。事前定義ロールの一覧については、IAM の Google SecOps の事前定義ロールをご覧ください。

IAM を使用して機能アクセス制御を構成する

IAM を使用して機能アクセス制御を構成するの手順を完了するには、プロジェクトの IAM ロールバインディングを付与および変更するために、プロジェクトレベルで次の IAM 権限が必要です。

プロジェクト IAM 管理者（roles/resourcemanager.projectIamAdmin）

これを行う方法の例については、ユーザーとグループにロールを割り当てるをご覧ください。

既存の Google Security Operations インスタンスを IAM に移行する場合は、サードパーティ ID プロバイダ Google Security Operations を構成するのセクションで定義されているのと同じ権限が必要です。

データアクセス制御を構成する

ユーザーのデータ RBAC を構成するには、Chronicle API 管理者（roles/chronicle.admin）ロールとロール閲覧者（roles/iam.roleViewer）ロールが必要です。ユーザーにスコープを割り当てるには、プロジェクト IAM 管理者（roles/resourcemanager.projectIamAdmin）またはセキュリティ管理者（roles/iam.securityAdmin）のロールが必要です。

必要なロールがない場合は、IAM でロールを割り当てます。

Google Security Operations の高度な機能の要件

次の表に、Google Security Operations の高度な機能と、お客様提供の Google Cloud プロジェクトと Google Workforce Identity 連携に対するそれらの依存関係を示します。

能力	Google Cloud の基盤	Google Cloud プロジェクトが必要ですか？	IAM の統合が必要ですか？
Cloud Audit Logs: 管理アクティビティ	Cloud Audit Logs	○	○
Cloud Audit Logs: データアクセス	Cloud Audit Logs	○	○
Cloud Billing: オンラインサブスクリプションまたは従量課金制	Cloud Billing	○	×
Google Security Operations API: サードパーティの IdP を使用した一般的なアクセス、ミントおよび認証情報の管理	Google Cloud APIs	○	○
Google Security Operations API: Cloud Identity を使用した一般的なアクセス、ミントおよび認証情報の管理	Google Cloud APIs、Cloud Identity	○	○
準拠コントロール: CMEK	Cloud Key Management Service または Cloud External Key Manager	○	×
準拠コントロール: FedRAMP High 以上	Assured Workloads	○	○
準拠コントロール: 組織ポリシーサービス	組織ポリシーサービス	○	×
準拠コントロール: VPC Service Controls	VPC Service Controls	○	×
連絡先管理: 法的開示	重要な連絡先	○	×
健全性モニタリング: 取り込みパイプラインの停止	Cloud Monitoring	○	×
取り込み: Webhook、Pub/Sub、Azure Event Hub、Amazon Kinesis Data Firehose	Identity and Access Management	○	×
ロールベースアクセス制御: データ	Identity and Access Management	○	○
ロールベースアクセス制御: 機能またはリソース	Identity and Access Management	○	○
サポートアクセス: ケースの送信、トラッキング	Cloud カスタマーケア	○	×
統合 SecOps 認証	Google Workforce Identity 連携	×	○