アクセス制御

>

Security Command Center

Identity and Access Management(IAM)のロールでは、Security Command Center API の使用方法について規定しています。以下は、Security Command Center で使用できる各 IAM ロールと、これらのロールに使用できるメソッドのリストです。これらのロールは組織レベルで適用します。

役割 役職 説明 権限 最下位のリソース
roles/securitycenter.admin セキュリティ センター管理者 セキュリティ センターに対する管理者(スーパー ユーザー)アクセス
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
組織
roles/securitycenter.adminEditor セキュリティ センター管理編集者 セキュリティ センターに対する管理者の読み取り / 書き込み権限
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.assets.*
  • securitycenter.assetsecuritymarks.*
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.*
  • securitycenter.findingsecuritymarks.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
組織
roles/securitycenter.adminViewer セキュリティ センター管理閲覧者 セキュリティ センターに対する管理者の読み取り権限
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • resourcemanager.organizations.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
組織
roles/securitycenter.assetSecurityMarksWriter セキュリティ センターのアセット セキュリティ マーク編集者 アセット セキュリティ マークに対する書き込み権限
  • securitycenter.assetsecuritymarks.*
組織
roles/securitycenter.assetsDiscoveryRunner セキュリティ センターのアセット ディスカバリ実行者 アセットに対するアセット ディスカバリの実行権限
  • securitycenter.assets.runDiscovery
組織
roles/securitycenter.assetsViewer セキュリティ センターのアセット閲覧者 アセットに対する読み取り権限
  • resourcemanager.organizations.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
組織
roles/securitycenter.findingSecurityMarksWriter セキュリティ センターの検出セキュリティ マーク編集者 検出セキュリティ マークに対する書き込み権限
  • securitycenter.findingsecuritymarks.*
組織
roles/securitycenter.findingsEditor セキュリティ センターの検出編集者 検出に対する読み取り / 書き込み権限
  • resourcemanager.organizations.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.findings.setState
  • securitycenter.findings.update
  • securitycenter.sources.get
  • securitycenter.sources.list
組織
roles/securitycenter.findingsStateSetter セキュリティ センターの検出状態設定者 検出状態の設定権限
  • securitycenter.findings.setState
組織
roles/securitycenter.findingsViewer セキュリティ センターの検出閲覧者 検出に対する読み取り権限
  • resourcemanager.organizations.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.sources.get
  • securitycenter.sources.list
組織
roles/securitycenter.findingsWorkflowStateSetter セキュリティ センターの検出ワークフロー状態設定者ベータ版 検出に対するワークフロー状態のアクセス権を設定します
  • securitycenter.findings.setWorkflowState
roles/securitycenter.notificationConfigEditor セキュリティ センター通知構成編集者 通知構成に対する書き込みアクセス権
  • securitycenter.notificationconfig.*
roles/securitycenter.notificationConfigViewer セキュリティ センター通知構成閲覧者 通知構成に対する読み取りアクセス権
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
roles/securitycenter.settingsAdmin セキュリティ センター設定の管理者 セキュリティ センターの設定に対する管理者(スーパー ユーザー)アクセス権
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.*
roles/securitycenter.settingsEditor セキュリティ センター設定の編集者 セキュリティ センターの設定に対する読み取り / 書き込みアクセス権
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.*
roles/securitycenter.settingsViewer セキュリティ センター設定の閲覧者 セキュリティ センターの設定に対する読み取りアクセス権
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
roles/securitycenter.sourcesAdmin セキュリティ センターのソース管理者 ソースに対する管理者権限
  • resourcemanager.organizations.get
  • securitycenter.sources.*
組織
roles/securitycenter.sourcesEditor セキュリティ センターのソース編集者 ソースに対する読み取り / 書き込み権限
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
組織
roles/securitycenter.sourcesViewer セキュリティ センターのソース閲覧者 ソースに対する読み取り権限
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
組織

ロール: セキュリティ センター サービス エージェント

Security Command Center を有効にすると、service-org-organization-id@security-center-api.iam.gserviceaccount.com の形式でサービス アカウントが作成されます。Security Command Center を使用するには、サービス アカウントに組織レベルで securitycenter.serviceAgent ロールを付与する必要があります。このロールを使用すると、Security Command Center のサービス アカウントが組織のアセット インベントリ メタデータの独自のコピーを継続的に作成、更新できるようになります。

このロールは、Security Command Center のオンボーディング プロセスの一環としてサービス アカウントに付与するように求められます。オンボーディング インターフェースを介して必要なすべてのロールを付与するか、gcloud を使用してロールを手動で付与してください。サービス アカウントにロールを付与する手順については、権限の付与をご覧ください。

この securitycenter.serviceAgent ロールは、次の権限を含む内部のロールです。

役割 役職 説明 権限 最下位のリソース
roles/securitycenter.serviceAgent セキュリティ センター サービス エージェント Google Cloud リソースのスキャンとセキュリティ スキャンをインポートするためのアクセス権

次のロールのすべての権限。

  • appengine.appViewer
  • cloudasset.viewer
  • compute.viewer
  • container.viewer
  • dlpscanner.policyReader
  • dlpscanner.scanReader
  • dlp.jobsReader

次の権限も追加されます。

  • resourcemanager.folders.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • storage.buckets.get
  • storage.buckets.list
  • storage.buckets.getIamPolicy
組織

roles/securitycenter.serviceAgent を追加するには、roles/resourcemanager.organizationAdmin が必要です。そのロールは、次のコマンドを実行してアカウントに追加できます。

gcloud organizations add-iam-policy-binding organization-id \
  --member="serviceAccount:service-org-organization-id@security-center-api.iam.gserviceaccount.com" \
  --role="roles/securitycenter.serviceAgent"

IAM ロールの詳細については、ロールについてをご覧ください。

Event Threat Detection

Identity and Access Management(IAM)のロールでは、Event Threat Detection API の使用方法について規定しています。以下は、Event Threat Detection で使用できる各 IAM ロールと、これらのロールに使用できるメソッドのリストです。これらのロールは組織レベルで適用します。

役割 役職 説明 権限 最下位のリソース
roles/threatdetection.editor Threat Detection 設定の編集者ベータ版 すべての Threat Detection 設定に対する読み取り / 書き込みアクセス権
  • threatdetection.*
組織
roles/threatdetection.viewer Threat Detection 設定の閲覧者ベータ版 Threat Detection のすべての設定に対する読み取りアクセス権
  • threatdetection.detectorSettings.get
  • threatdetection.sinkSettings.get
  • threatdetection.sourceSettings.get
組織

Web Security Scanner

Identity and Access Management(IAM)のロールでは、Web Security Scanner の使用方法について規定しています。次の表に、Web Security Scanner で使用できる各 IAM のロールと、これらのロールに使用できるメソッドを示します。これらのロールをプロジェクト レベルで付与します。ユーザーにセキュリティ スキャンを作成、管理する機能を付与するには、ユーザーをプロジェクトに追加し、ロールを使用して権限を付与します。

Web Security Scanner は、Web Security Scanner リソースに対して、より細分化されたアクセス権を付与する基本ロール事前定義ロールをサポートしています。

基本の IAM ロール

基本ロールによって付与される Web Security Scanner の権限は次のとおりです。

役割 説明
オーナー すべての Web Security Scanner リソースに対する完全アクセス権
編集者 すべての Web Security Scanner リソースに対する完全アクセス権
閲覧者 Web Security Scanner に対してアクセス権を持たない

事前定義された IAM の役割

以下では、Web Security Scanner ロールで付与される Web Security Scanner の権限について説明します。

ロール 役職 説明 権限 最下位のリソース
roles/cloudsecurityscanner.editor Web Security Scanner 編集者 すべての Web Security Scanner リソースに対する完全アクセス権
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト
roles/cloudsecurityscanner.runner Web Security Scanner 実行者 スキャンとスキャン実行に対する読み取りアクセス権、およびスキャンを開始する権限
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scanruns.stop
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • cloudsecurityscanner.scans.run
プロジェクト
roles/cloudsecurityscanner.viewer Web Security Scanner 閲覧者 すべての Web Security Scanner リソースに対する読み取りアクセス権
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト

IAM ロールの詳細については、ロールについてをご覧ください。