このページでは、Identity and Access Management(IAM)を使用して、プロジェクト レベルでの Security Command Center の有効化でリソースへのアクセスを制御する方法について説明します。このページは、組織で Security Command Center が有効になっていない場合にのみ参照してください。
次のいずれかの条件に該当する場合は、このページではなく、組織レベルでの有効化に使用する IAM をご覧ください。
- Security Command Center がプロジェクト レベルではなく組織レベルで有効になっている。
- Security Command Center Standard が組織レベルですでに有効になっている。1 つ以上のプロジェクトで Security Command Center Premium が有効になっている。
Security Command Center では、IAM のロールを使用して、誰が Security Command Center 環境内のアセット、検出結果、セキュリティ ソースを使用して何を実行できるかを制御します。ロールを個人とアプリケーションに付与し、それぞれのロールによって具体的な権限が与えられます。
権限
Security Command Center を設定するか、プロジェクトの構成を変更するには、次の両方のロールが必要です。
- プロジェクト IAM 管理者(
roles/resourcemanager.projectIamAdmin
) - セキュリティ センター管理者(
roles/securitycenter.admin
)
ユーザーが編集権限を必要としない場合は、閲覧者ロールの付与を検討してください。Security Command Center ですべてのアセットと検出結果を表示するには、セキュリティ センター管理閲覧者(roles/securitycenter.adminViewer
)のロールが必要です。設定も表示する必要がある場合は、セキュリティ センター設定閲覧者(roles/securitycenter.settingsViewer
)のロールが必要です。
これらのロールはリソース階層の任意のレベルに設定できますが、プロジェクト レベルで設定することをおすすめします。これは、最小権限の原則に準拠しています。
ロールと権限を管理する手順については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
Security Command Center をプロジェクト レベルで有効にする場合に継承されるアクセス権
プロジェクトは、そのプロジェクトを含むフォルダと組織のレベルで設定されているロール バインディングを継承します。たとえば、プリンシパルに組織レベルでセキュリティ センターの検出編集者のロール(roles/securitycenter.findingsEditor
)が付与されている場合、そのプリンシパルにはプロジェクト レベルで同じロールが設定されます。このプリンシパルは、Security Command Center がアクティブな組織のプロジェクトの検出結果を表示、編集できます。
次の図では、組織レベルでロールが付与されている Security Command Center のリソース階層を示します。
プロジェクトにアクセスできるプリンシパル(権限を継承しているプリンシパルを含む)のリストを表示するには、現在のアクセス権を表示するをご覧ください。
Security Command Center の IAM ロール
Security Command Center で使用できる IAM ロールと、各ロールに含まれる権限を以下に示します。Security Command Center では、組織、フォルダ、プロジェクトの各レベルでこれらのロールを付与できます。
Role | Permissions |
---|---|
Security Center Admin( Admin(super user) access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Editor( Admin Read-write access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Admin Viewer( Admin Read access to security center Lowest-level resources where you can grant this role:
|
|
Security Center Asset Security Marks Writer( Write access to asset security marks Lowest-level resources where you can grant this role:
|
|
Security Center Assets Discovery Runner( Run asset discovery access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Assets Viewer( Read access to assets Lowest-level resources where you can grant this role:
|
|
Security Center Attack Paths Reader( Read access to security center attack paths |
|
Security Center BigQuery Exports Editor( Read-Write access to security center BigQuery Exports |
|
Security Center BigQuery Exports Viewer( Read access to security center BigQuery Exports |
|
Security Center Compliance Reports Viewer Beta( Read access to security center compliance reports |
|
Security Center Compliance Snapshots Viewer Beta( Read access to security center compliance snapshots |
|
Security Center External Systems Editor( Write access to security center external systems |
|
Security Center Finding Security Marks Writer( Write access to finding security marks Lowest-level resources where you can grant this role:
|
|
Security Center Findings Bulk Mute Editor( Ability to mute findings in bulk |
|
Security Center Findings Editor( Read-write access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Mute Setter( Set mute access to findings |
|
Security Center Findings State Setter( Set state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Viewer( Read access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Findings Workflow State Setter Beta( Set workflow state access to findings Lowest-level resources where you can grant this role:
|
|
Security Center Mute Configurations Editor( Read-Write access to security center mute configurations |
|
Security Center Mute Configurations Viewer( Read access to security center mute configurations |
|
Security Center Notification Configurations Editor( Write access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Notification Configurations Viewer( Read access to notification configurations Lowest-level resources where you can grant this role:
|
|
Security Center Resource Value Configurations Editor( Read-Write access to security center resource value configurations |
|
Security Center Resource Value Configurations Viewer( Read access to security center resource value configurations |
|
Security Health Analytics Custom Modules Tester( Test access to Security Health Analytics Custom Modules |
|
Security Center Settings Admin( Admin(super user) access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Editor( Read-Write access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Settings Viewer( Read access to security center settings Lowest-level resources where you can grant this role:
|
|
Security Center Simulations Reader( Read access to security center simulations |
|
Security Center Sources Admin( Admin access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Editor( Read-write access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Sources Viewer( Read access to sources Lowest-level resources where you can grant this role:
|
|
Security Center Valued Resources Reader( Read access to security center valued resources |
|
Security Center Management Admin( Full access to manage Cloud Security Command Center services and custom modules configuration. |
|
Security Center Management Custom Modules Editor( Full access to manage Cloud Security Command Center custom modules. |
|
Security Center Management Custom Modules Viewer( Readonly access to Cloud Security Command Center custom modules. |
|
Security Center Management Custom ETD Modules Editor( Full access to manage Cloud Security Command Center ETD custom modules. |
|
Security Center Management ETD Custom Modules Viewer( Readonly access to Cloud Security Command Center ETD custom modules. |
|
Security Center Management Services Editor( Full access to manage Cloud Security Command Center services configuration. |
|
Security Center Management Services Viewer( Readonly access to Cloud Security Command Center services configuration. |
|
Security Center Management Settings Editor( Full access to manage Cloud Security Command Center settings |
|
Security Center Management Settings Viewer( Readonly access to Cloud Security Command Center settings |
|
Security Center Management SHA Custom Modules Editor( Full access to manage Cloud Security Command Center SHA custom modules. |
|
Security Center Management SHA Custom Modules Viewer( Readonly access to Cloud Security Command Center SHA custom modules. |
|
Security Center Management Viewer( Readonly access to Cloud Security Command Center services and custom modules configuration. |
|
サービス エージェントのロール
サービス エージェントを使用すると、サービスがリソースにアクセスできるようになります。
Security Command Center を有効にすると、サービス アカウントの一種である 2 つのサービス エージェントが作成されます。
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
。このサービス エージェントには、
securitycenter.serviceAgent
IAM ロールが必要です。service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
。このサービス エージェントには、
roles/containerthreatdetection.serviceAgent
IAM ロールが必要です。
Security Command Center を機能させるには、サービス エージェントに必要な IAM ロールを付与する必要があります。Security Command Center の有効化プロセス中に、ロールを付与するように求められます。
各ロールの権限を確認するには、以下をご覧ください。
ロールを付与するには、roles/resourcemanager.projectIamAdmin
ロールが必要です。
roles/resourcemanager.organizationAdmin
ロールがない場合は、組織管理者が次の gcloud CLI コマンドを使用してサービス エージェントにロールを付与できます。
gcloud organizations add-iam-policy-binding PROJECT_ID \ --member="SERVICE_ACCOUNT_NAME" \ --role="IAM_ROLE"
次のように置き換えます。
PROJECT_ID
: プロジェクト IDSERVICE_AGENT_NAME
: 次のいずれかのサービス エージェント名。service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
IAM_ROLE
: 指定したサービス エージェントに対応する次の必要なロール。roles/securitycenter.serviceAgent
roles/containerthreatdetection.serviceAgent
プロジェクト ID とプロジェクト番号を確認するには、プロジェクトの識別をご覧ください。
IAM ロールの詳細については、ロールについてをご覧ください。
Web Security Scanner
IAM ロールでは、Web Security Scanner の使用方法が規定されています。次の表では、Web Security Scanner で使用できる各 IAM ロールと、これらのロールで使用できるメソッドを示します。これらのロールは、プロジェクト レベルで付与します。ユーザーにセキュリティ スキャンを作成、管理する能力を与えるには、ユーザーをプロジェクトに追加し、IAM ロールを使用して権限を付与します。
Web Security Scanner では、Web Security Scanner リソースに対してより細分化されたアクセス権を付与する、基本ロールと事前定義ロールがサポートされています。
IAM の基本ロール
基本ロールによって付与される Web Security Scanner の権限は次のとおりです。
ロール | 説明 |
---|---|
オーナー | すべての Web Security Scanner リソースに対する完全アクセス権 |
編集者 | すべての Web Security Scanner リソースに対する完全アクセス権 |
閲覧者 | Web Security Scanner に対するアクセス権なし |
事前定義された IAM の役割
以下では、Web Security Scanner ロールで付与される Web Security Scanner の権限について説明します。
Role | Permissions |
---|---|
Web Security Scanner Editor( Full access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Runner( Read access to Scan and ScanRun, plus the ability to start scans Lowest-level resources where you can grant this role:
|
|
Web Security Scanner Viewer( Read access to all Web Security Scanner resources Lowest-level resources where you can grant this role:
|
|
IAM ロールの詳細については、ロールについてをご覧ください。