このページでは、Identity and Access Management(IAM)を使用して、Security Command Center を組織レベルで有効にする際のリソースへのアクセスを制御する方法について説明します。このページの内容は、次のいずれかの条件に該当する場合を対象としています。
- Security Command Center が、プロジェクト レベルではなく組織レベルで有効になっている。
- Security Command Center Standard が、組織レベルですでに有効になっている。また、1 つ以上のプロジェクトで Security Command Center Premium が有効になっている。
組織レベルではなくプロジェクト レベルで Security Command Center を有効にした場合は、代わりにプロジェクト レベルの有効化のための IAM をご覧ください。
組織レベルで Security Command Center を有効にすると、リソース階層のさまざまなレベルでリソースへのアクセスを制御できます。Security Command Center では、IAM のロールを使用して、誰が Security Command Center 環境内のアセット、検出結果、セキュリティ ソースを使用して何を実行できるかを制御します。ロールを個人とアプリケーションに付与すると、それぞれのロールによって特定の権限が与えられます。
権限
Security Command Center を設定する、または組織の構成を変更するには、組織レベルの次のロールがどちらも必要です。
- 組織管理者(
roles/resourcemanager.organizationAdmin
) - セキュリティ センター管理者(
roles/securitycenter.admin
)
ユーザーが編集権限を必要としない場合は、閲覧者ロールの付与を検討してください。
Security Command Center ですべてのアセット、検出結果、攻撃パスを表示するには、組織レベルのセキュリティ センター管理閲覧者(roles/securitycenter.adminViewer
)ロールが必要です。
設定を表示するには、組織レベルでセキュリティ センター管理者(roles/securitycenter.admin
)のロールが必要です。
個々のフォルダやプロジェクトへのアクセスを制限するために、組織レベルのロールだけで付与しないでください。代わりに、フォルダレベルまたはプロジェクト レベルで次のロールを付与します。
- セキュリティ センターのアセット閲覧者(
roles/securitycenter.assetsViewer
) - セキュリティ センターの検出閲覧者(
roles/securitycenter.findingsViewer
)
組織レベルのロール
組織レベルで IAM ロールが適用されると、その組織のプロジェクトとフォルダは、そのロール バインディングを継承します。
次の図では、組織レベルでロールが付与されている一般的な Security Command Center のリソース階層を示します。
IAM のロールには、リソースを表示、編集、更新、作成、削除する権限が含まれます。Security Command Center で組織レベルで付与されたロールにより、ユーザーは組織全体で検出結果、アセット、セキュリティ ソースに対して所定のアクションを実行できます。たとえば、セキュリティ センターの検出編集者ロール(roles/securitycenter.findingsEditor
)を付与されたユーザーは、組織内の任意のプロジェクトまたはフォルダのリソースに関連付けられている検出結果を表示したり、編集したりできます。この構造では、フォルダまたはプロジェクトごとにユーザーにロールを付与する必要はありません。
ロールと権限を管理する手順については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
組織レベルのロールは、あらゆるユースケースに向いているわけではありません。特に、厳格なアクセス制御が必要な機密性の高いアプリケーションやコンプライアンス標準には向いていません。きめ細かいアクセス ポリシーを作成するには、フォルダレベルとプロジェクト レベルでロールを付与します。
フォルダレベルのロールとプロジェクト レベルのロール
Security Command Center を使用すると、特定のフォルダとプロジェクトに Security Command Center の IAM ロールを付与して、組織内で複数のビュー(サイロ)を作成できます。ユーザーとグループに、組織のフォルダとプロジェクトに対するさまざまなアクセス権と編集権限を付与します。
次の動画では、フォルダレベルのロールとプロジェクト レベルのロールを付与する方法と、Security Command Center コンソールでこれらのロールを管理する方法について説明します。
フォルダとプロジェクトのロールを使用すると、Security Command Center のロールを持つユーザーは、指定されたプロジェクトやフォルダ内のアセットと検出結果を管理できます。たとえば、セキュリティ エンジニアにフォルダとプロジェクトを選択するための制限付きのアクセス権を付与する一方で、セキュリティ管理者は組織レベルですべてのリソースを管理できます。
フォルダとプロジェクトのロールを使用すると、組織のリソース階層の下位レベルで Security Command Center の権限を適用できますが、階層は変更できません。次の図は、特定のプロジェクト内の検出結果にアクセスできる Security Command Center の権限を付与されたユーザーを示しています。
フォルダレベルとプロジェクトのロールを持つユーザーは、組織のリソースのサブセットを表示できます。ユーザーが行うアクションは同じスコープに制限されます。たとえば、フォルダに対する権限を付与されているユーザーは、フォルダ内の任意のプロジェクトのリソースにアクセスできます。プロジェクトに対する権限により、ユーザーはそのプロジェクト内のリソースにアクセスできます。
ロールと権限を管理する手順については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
ロールの制限
フォルダレベルやプロジェクト レベルで Security Command Center のロールを付与することによって、Security Command Center の管理者は次のことができます。
- Security Command Center の表示権限や編集権限を特定のフォルダとプロジェクトに制限する。
- 特定のユーザーまたはチームにアセットのグループまたは検出結果に対する表示権限および編集権限を付与する
- 検出結果(セキュリティ マークや検出状態の更新など)の表示または編集を、基盤となる検出結果へのアクセス権を持つユーザーまたはグループに制限する
- Security Command Center の設定へのアクセスを制御する。これにより、組織レベルのロールを持つユーザーだけが閲覧できます
Security Command Center の機能
Security Command Center の機能は、表示と編集の権限に基づく制限もされています。
Google Cloud コンソールでは、Security Command Center を使用して、組織レベルの権限を持たないユーザーは、アクセス権を持つリソースのみを選択できます。この選択により、アセット、検出結果、設定コントロールなど、ユーザー インターフェースのすべての要素が更新されます。ユーザーは、ロールに関連付けられた権限と、現在のスコープで検出結果にアクセスして編集できるかどうかがわかります。
Security Command Center API と Google Cloud CLI により、特定のフォルダとプロジェクトに対する機能も制限されます。アセットと検出結果の一覧表示やグループ化の呼び出しが、フォルダまたはプロジェクトのロールが付与されたユーザーによって行われた場合、それらのスコープの検出結果またはアセットのみが返されます。
Security Command Center を組織レベルで有効にする場合、検出結果を作成または更新するための呼び出しと検出通知は、組織スコープのみをサポートします。こうしたタスクの実行には、組織レベルのロールが必要です。
攻撃パス シミュレーションによって生成された攻撃パスを表示するには、組織レベルで適切な権限を付与し、Google Cloud コンソール ビューを組織に設定する必要があります。
検出結果の親リソース
通常、検出結果は仮想マシン(VM)やファイアウォールなどのリソースに関連付けられます。Security Command Center は、検出結果を生成したリソースに直接的に関係のあるコンテナに検出結果を関連付けます。たとえば、VM で検出結果が生成されると、VM が含まれるプロジェクトに検出結果が関連付けられます。Google Cloud リソースに関係のない検出結果は組織に関連付けられ、組織レベルの Security Command Center 権限を持つすべてのユーザーが閲覧できるようになります。
Security Command Center の IAM ロール
Security Command Center で使用できる IAM ロールと、各ロールに含まれる権限を以下に示します。Security Command Center では、組織、フォルダ、プロジェクトの各レベルでこれらのロールを付与できます。
Role | Permissions |
---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Reports Viewer Beta( Read access to security center compliance reports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Security Center Management Admin( Full access to manage Cloud Security Command Center services and custom modules configuration. |
|
Security Center Management Custom Modules Editor( Full access to manage Cloud Security Command Center custom modules. |
|
Security Center Management Custom Modules Viewer( Readonly access to Cloud Security Command Center custom modules. |
|
Security Center Management Custom ETD Modules Editor( Full access to manage Cloud Security Command Center ETD custom modules. |
|
Security Center Management ETD Custom Modules Viewer( Readonly access to Cloud Security Command Center ETD custom modules. |
|
Security Center Management Services Editor( Full access to manage Cloud Security Command Center services configuration. |
|
Security Center Management Services Viewer( Readonly access to Cloud Security Command Center services configuration. |
|
Security Center Management Settings Editor( Full access to manage Cloud Security Command Center settings |
|
Security Center Management Settings Viewer( Readonly access to Cloud Security Command Center settings |
|
Security Center Management SHA Custom Modules Editor( Full access to manage Cloud Security Command Center SHA custom modules. |
|
Security Center Management SHA Custom Modules Viewer( Readonly access to Cloud Security Command Center SHA custom modules. |
|
Security Center Management Viewer( Readonly access to Cloud Security Command Center services and custom modules configuration. |
|
セキュリティ対策サービスの IAM ロール
以下に、セキュリティ ポスチャー サービスと Infrastructure as Code 検証機能で使用できる IAM のロールと権限の一覧を示します。これらのロールは、組織レベル、フォルダレベル、プロジェクト レベルで付与できます。セキュリティ対策管理者のロールは、組織レベルでのみ利用できます。
ロール | 権限 |
---|---|
セキュリティ対策管理者( セキュリティ対策サービス API に対する完全アクセス権。 |
|
セキュリティ対策リソース編集者( セキュリティ ポスチャー リソースに対する変更および読み取り権限。 |
|
セキュリティ対策デプロイ担当者( セキュリティ対策デプロイ リソースに対する変更および読み取り権限。 |
|
セキュリティ対策リソース閲覧者( セキュリティ ポスチャー リソースに対する読み取り専用アクセス権。 |
|
セキュリティ対策デプロイ閲覧者( セキュリティ ポスチャー デプロイ リソースに対する読み取り専用アクセス権。 |
|
セキュリティ対策シフトレフト検証者( レポート(IaC 検証レポートなど)に対するアクセス権を作成します。 |
|
セキュリティ対策閲覧者( すべてのセキュリティ ポスチャー サービス リソースに対する読み取り専用アクセス権。 |
|
サービス エージェントのロール
サービス エージェントを使用すると、サービスがリソースにアクセスできるようになります。
Security Command Center を有効にすると、2 つのサービス エージェントが作成されます。
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
このサービス エージェントには、
roles/securitycenter.serviceAgent
IAM ロールが必要です。service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
このサービス エージェントには、
roles/containerthreatdetection.serviceAgent
IAM ロールが必要です。
Security Command Center の有効化プロセス時に、各サービス エージェントに 1 つ以上の必要な IAM のロールを付与するように求められます。Security Command Center が機能するためには、各サービス エージェントにロールを付与する必要があります。
各ロールの権限を確認するには、以下をご覧ください。
ロールを付与するには、roles/resourcemanager.organizationAdmin
ロールが必要です。
roles/resourcemanager.organizationAdmin
ロールがない場合は、組織管理者が次の gcloud CLI コマンドを使用して、サービス エージェントにロールを付与できます。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="SERVICE_AGENT_NAME" \ --role="IAM_ROLE"
以下を置き換えます。
ORGANIZATION_ID
: 組織 IDSERVICE_AGENT_NAME
: ロールを付与するサービス エージェントの名前。この名前は、次のいずれかのサービス エージェント名です。service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE
: 指定したサービス エージェントに対応する次の必要なロール。roles/securitycenter.serviceAgent
roles/containerthreatdetection.serviceAgent
IAM ロールの詳細については、ロールについてをご覧ください。
Web Security Scanner
IAM ロールでは、Web Security Scanner の使用方法が規定されています。次の表に、Web Security Scanner で使用できる各 IAM のロールと、これらのロールに使用できるメソッドを示します。これらのロールをプロジェクト レベルで付与します。ユーザーにセキュリティ スキャンを作成、管理する機能を付与するには、ユーザーをプロジェクトに追加し、ロールを使用して権限を付与します。
Web Security Scanner は、Web Security Scanner リソースに対して、より細分化されたアクセス権を付与する基本ロールと事前定義ロールをサポートしています。
基本の IAM ロール
基本ロールによって付与される Web Security Scanner の権限は次のとおりです。
役割 | 説明 |
---|---|
オーナー | すべての Web Security Scanner リソースに対する完全アクセス権 |
編集者 | すべての Web Security Scanner リソースに対する完全アクセス権 |
閲覧者 | Web Security Scanner に対してアクセス権を持たない |
事前定義された IAM の役割
以下では、Web Security Scanner ロールで付与される Web Security Scanner の権限について説明します。
Role | Permissions |
---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
IAM ロールの詳細については、ロールについてをご覧ください。