Risk Manager の構成

このトピックでは、Risk Manager を初めて使用するように Google Cloud 組織を構成する方法について説明します。次の手順は、Risk Manager のほとんどのタスクの前提条件です。

Risk Manager の設定を開始する

レポートを生成するには、Risk Manager が 1 回限りの設定を完了する必要があります。このプロセスには、組織の管理者だけが保持できる、リスク マネージャーの範囲外の Identity and Access Management(IAM)権限が必要です。

設定を開始する手順は次のとおりです。

Console

  1. Risk Manager 設定ページに移動します。

    Risk Manager の設定に移動

  2. 組織が選択されていない場合は、次の手順を行います。

    1. [組織を選択] をクリックします。
    2. プルダウン メニューで組織を選択します。
  3. [セットアップを開始] をクリックします。このボタンが無効になっている場合は、必要な設定権限を取得してから、もう一度お試しください。

必要な設定権限

[Begin Setup] ボタンが無効になっている場合は、設定を開始するために必要な権限がありません。続行するには、Google Cloud 管理者にこれらの権限をリクエストするか、Google Cloud 管理者にこれらの手順を代行してもらう必要があります。このガイドの残りの手順を完了するには、これらの権限が必要です。

権限 resourcemanager.organizations.setIamPolicy は管理者ロールにのみ含まれるため、Google Cloud 管理者がこの設定を行うことをおすすめします。以下のロールには、必要な権限が含まれています。

  • Risk Manager Admin
  • Organization Administrator

必要な権限を確認するには、まず非アクティブな [設定を開始] ボタンをクリックします。

必要な権限 参照
riskmanager.serviceAccount.create この権限が含まれる IAM ロールについては、Risk Manager のアクセス制御をご覧ください。Risk Manager ロールを割り当てる方法については、IAM ロールの割り当てをご覧ください。
resourcemanager.organizations.getIamPolicy この権限が含まれる IAM ロールについては、組織のアクセス制御をご覧ください。
resourcemanager.organizations.setIamPolicy この権限が含まれる IAM ロールについては、組織のアクセス制御をご覧ください。

Risk Manager サービス アカウントに組織へのアクセス権を付与する

Google Cloud Console で Risk Manager の設定を開始すると、サービス アカウントが作成されます。作成時に、このサービス アカウントには権限がなく、アクションを実行できません。

セキュリティの検出結果を読み取り、レポートを作成するには、Risk Manager サービス アカウントにリスク マネージャー サービス エージェントのロールroles/riskmanager.serviceAgent)が付与されている必要があります。この役割の付与は、多くの場合、Google Cloud Google Cloud Console ではリスク マネージャーによって「プロビジョニング」と呼ばれています。サービス エージェントのロールの詳細については、Risk Manager のアクセス制御をご覧ください。

Risk Manager サービス アカウントをプロビジョニングする手順は次のとおりです。

Console

  1. Risk Manager 設定ページに移動します。

    Risk Manager の設定手順に移動

  2. 組織が選択されていない場合は、次の手順を行います。

    1. [組織を選択] をクリックします。
    2. プルダウン メニューで組織を選択します。
  3. [サービス アカウントのプロビジョニング] ステップに進みます。このステップがすでに完了している場合、自動的にスキップされます。サービス アカウントを表示するには、[サービス アカウントをプロビジョニングする] をクリックします。

  4. [ロールを付与] をクリックします。

  5. [ロールを付与] ボタンが更新されて [ロールを付与] と表示されていることを確認します。

Risk Manager への登録

Risk Manager に登録すると、Risk Manager が動作するために必要なバックエンド サービスが有効になります。

登録を完了するには、Security Command Center で Security Command Center を有効にする必要があります。Security Command Center と Security Health Analytics の有効化プロセスの詳細については、Risk Manager のオンボーディング ページをご覧ください。

Risk Manager に登録する手順は次のとおりです。

Console

  1. Risk Manager 設定ページに移動します。

    Risk Manager の設定手順に移動

  2. 組織が選択されていない場合:

    1. [組織を選択] をクリックします。
    2. プルダウン メニューで組織を選択します。
  3. Risk Manager の登録手順に進みます。このステップに進むことができない場合は、事前に前提手順を完了する必要があります。

    このステップがすでに完了している場合は、自動的にスキップされます。この場合も、[リスク マネージャーに登録] をクリックすると表示されます。

  4. [登録] をクリックします。

  5. [登録] ボタンが更新され、[登録済み] と表示されていることを確認します。

IAM ロールを割り当てる

ユーザーがレポートを作成、確認、共有、送信するには、適切な IAM 権限が必要です。1 つ以上の事前定義ロールを付与することも、カスタムロールを作成して付与することもできます。たとえば、Risk Manager レポート審査担当者のロール(roles/riskmanager.reportReviewer)を持つメンバーは、レポートにアクセスして、送信を承認できます。ただし、レポートの作成。

Risk Manager の事前定義ロールのリストなどの詳細については、Risk Manager へのアクセスの管理をご覧ください。

ロールを追加する手順は次のとおりです。

Console

  1. Cloud Console の IAM ページに移動します。

    IAM に移動

  2. ページの上部にあるプロジェクト セレクタのプルダウン リストをクリックします。

  3. 表示された [選択元] ダイアログで、Risk Manager を有効にする組織を選択します。

  4. 上のIAMページで、ユーザー名の横にある メンバーを編集](保存)をクリックします。

  5. 表示される [権限の編集] ペインで、必要なロールを追加します。

    1. [別のロールを追加] をクリックします。追加するロールを選択します(リスク マネージャー レポート審査担当者など)。

    2. さらにロールを追加するには、前の手順を繰り返します。[保存] をクリックします。

gcloud

  1. Cloud SDK をインストールし、初期化します

  2. 次のコマンドを実行します。

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member=user:USERNAME --role=roles/ROLE
    

    以下を置き換えます。

    • ORGANIZATION_ID: 組織の数値 ID。

    • USERNAME: このロールを付与するメンバー。組織のメンバーである必要があります。例: test-user@example.com

    • ROLE: 付与するリスク マネージャーの役割の名前。例: riskmanager.admin

次のステップ