Google Security Operations インスタンスのオンボーディングまたは移行

Google Security Operations は、Identity and Access Management、Cloud Monitoring、Cloud Audit Logs などの Google Cloud サービスとより緊密に統合するために、お客様が指定する Google Cloud プロジェクトにリンクしています。お客様は IAM と Workforce Identity 連携を使用することで、既存の ID プロバイダを使用して認証することができます。

次のドキュメントでは、新しい Google Security Operations インスタンスをオンボーディングするか、既存の Google Security Operations インスタンスを移行するプロセスについて説明します。

必要なロール

以下のセクションでは、前のセクションで説明したオンボーディングプロセスの各フェーズに必要な権限について説明します。

Google Security Operations 用に Google Cloud プロジェクトを構成する

Google Security Operations 用に Google Cloud プロジェクトを構成するの手順を完了するには、次の IAM 権限が必要です。

組織レベルでプロジェクト作成者（resourcemanager.projects.create）の権限がある場合、プロジェクトを作成して Chronicle API を有効にするために追加の権限は必要ありません。

この権限がない場合は、プロジェクトレベルで次の権限が必要です。

Google Security Operations 用のサードパーティ ID プロバイダを構成する

Google Security Operations 用のサードパーティ ID プロバイダを構成するの手順を完了するには、次の IAM 権限が必要です。

以前に作成した Google Security Operations にバインドされたプロジェクトに対するプロジェクト編集者権限。
組織レベルの IAM Workforce プール管理者（roles/iam.workforcePoolAdmin）の権限。

例として、次のコマンドを使用して roles/iam.workforcePoolAdmin ロールを設定します。
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/iam.workforcePoolAdmin
```
以下を置き換えます。
- ORGANIZATION_ID: 数値の組織 ID
- USER_EMAIL: 管理者ユーザーのメールアドレス。

Google Security Operations インスタンスを Google Cloud サービスにリンクする

Google Security Operations を Google Cloud サービスにリンクするの手順を完了するには、Google Security Operations 用に Google Cloud プロジェクトを構成するセクションで定義されている同じ権限が必要です。

IAM を使用して機能アクセス制御を構成する

IAM を使用した機能アクセス制御の構成の手順を完了するには、プロジェクトの IAM ロールバインディングを付与および変更するには、プロジェクトレベルで次の IAM 権限が必要です。

プロジェクト IAM 管理者（roles/resourcemanager.projectIamAdmin）

これを行う方法の例については、ユーザーとグループにロールを割り当てるをご覧ください。

既存の Google Security Operations インスタンスを IAM に移行する場合は、サードパーティ ID プロバイダ Google Security Operations を構成するのセクションで定義されているのと同じ権限が必要です。

Google Security Operations の高度な機能の要件

次の表に、Google Security Operations の高度な機能と、お客様提供の Google Cloud プロジェクトと Google Workforce Identity 連携に対するそれらの依存関係を示します。

可能な操作	Google Cloud の基盤	Google Cloud プロジェクトが必要か？	Workforce Identity 連携が必要か？
Cloud Audit Logs: 管理アクティビティ	Cloud Audit Logs	○	○
Cloud Audit Logs: データアクセス	Cloud Audit Logs	○	○
Cloud Billing: オンラインサブスクリプションまたは従量課金制	Cloud Billing	○	いいえ
Google Security Operations API: サードパーティの IdP を使用した一般的なアクセス、ミントおよび認証情報の管理	Google Cloud APIs	○	○
Google Security Operations API: Cloud Identity を使用した一般的なアクセス、ミントおよび認証情報の管理	Google Cloud APIs、Cloud Identity	○	○
準拠コントロール: CMEK	Cloud Key Management Service または Cloud External Key Manager	○	×
準拠コントロール: FedRAMP High 以上	Assured Workloads	○	○
準拠コントロール: 組織ポリシーサービス	組織ポリシーサービス	○	×
準拠コントロール: VPC Service Controls	VPC Service Controls	○	×
連絡先の管理: 法的開示	重要な連絡先	○	×
稼働状況のモニタリング: 取り込みパイプラインの停止	Cloud Monitoring	○	×
取り込み: Webhook、Pub/Sub、Azure Event Hub、Amazon Kinesis Data Firehose	Identity and Access Management	○	×
ロールベースアクセス制御: データ	Identity and Access Management	○	○
ロールベースアクセス制御: 機能またはリソース	Identity and Access Management	○	○
サポートアクセス: ケースの送信、追跡	Cloud カスタマーケア	○	×
統合 SecOps 認証	Google Workforce Identity 連携	×	はい