アクセス制御

>

セキュリティ コマンド センター

Identity and Access Management(IAM)のロールでは、Security Command Center API の使用方法について規定しています。以下は、Security Command Center で使用できる各 IAM ロールと、これらのロールに使用できるメソッドのリストです。これらのロールは組織レベルで適用します。

役割 役職 説明 権限 最下位のリソース
roles/securitycenter.admin セキュリティ センター管理者 セキュリティ センターに対する管理者(スーパー ユーザー)アクセス
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
組織
roles/securitycenter.adminEditor セキュリティ センター管理編集者 セキュリティ センターに対する管理者の読み取り / 書き込み権限
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • securitycenter.assets.*
  • securitycenter.assetsecuritymarks.*
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.*
  • securitycenter.findingsecuritymarks.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
組織
roles/securitycenter.adminViewer セキュリティ センター管理閲覧者 セキュリティ センターに対する管理者の読み取り権限
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • resourcemanager.organizations.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
組織
roles/securitycenter.assetSecurityMarksWriter セキュリティ センターのアセット セキュリティ マーク編集者 アセット セキュリティ マークに対する書き込み権限
  • securitycenter.assetsecuritymarks.*
組織
roles/securitycenter.assetsDiscoveryRunner セキュリティ センターのアセット ディスカバリ実行者 アセットに対するアセット ディスカバリの実行権限
  • securitycenter.assets.runDiscovery
組織
roles/securitycenter.assetsViewer セキュリティ センターのアセット閲覧者 アセットに対する読み取り権限
  • resourcemanager.organizations.get
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.assets.listAssetPropertyNames
組織
roles/securitycenter.findingSecurityMarksWriter セキュリティ センターの検出セキュリティ マーク編集者 検出セキュリティ マークに対する書き込み権限
  • securitycenter.findingsecuritymarks.*
組織
roles/securitycenter.findingsEditor セキュリティ センターの検出編集者 検出に対する読み取り / 書き込み権限
  • resourcemanager.organizations.get
  • securitycenter.findings.*
  • securitycenter.sources.get
  • securitycenter.sources.list
組織
roles/securitycenter.findingsStateSetter セキュリティ センターの検出状態設定者 検出状態の設定権限
  • securitycenter.findings.setState
組織
roles/securitycenter.findingsViewer セキュリティ センターの検出閲覧者 検出に対する読み取り権限
  • resourcemanager.organizations.get
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.findings.listFindingPropertyNames
  • securitycenter.sources.get
  • securitycenter.sources.list
組織
roles/securitycenter.notificationConfigEditor セキュリティ センター通知構成編集者 通知構成に対する書き込みアクセス権
  • securitycenter.notificationconfig.*
roles/securitycenter.notificationConfigViewer セキュリティ センター通知構成閲覧者 通知構成に対する読み取りアクセス権
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
roles/securitycenter.settingsAdmin セキュリティ センターの設定管理者 アルファ版 セキュリティ センターの設定に対する管理者(スーパー ユーザー)アクセス権
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.*
roles/securitycenter.settingsEditor セキュリティ センターの設定編集者アルファ版 セキュリティ センターの設定に対する読み取り / 書き込みアクセス権
  • securitycenter.containerthreatdetectionsettings.*
  • securitycenter.eventthreatdetectionsettings.*
  • securitycenter.notificationconfig.*
  • securitycenter.organizationsettings.*
  • securitycenter.securitycentersettings.*
  • securitycenter.securityhealthanalyticssettings.*
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.*
roles/securitycenter.settingsViewer セキュリティ センター設定の閲覧者アルファ版 セキュリティ センターの設定に対する読み取りアクセス権
  • securitycenter.containerthreatdetectionsettings.calculate
  • securitycenter.containerthreatdetectionsettings.get
  • securitycenter.eventthreatdetectionsettings.calculate
  • securitycenter.eventthreatdetectionsettings.get
  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list
  • securitycenter.organizationsettings.get
  • securitycenter.securitycentersettings.get
  • securitycenter.securityhealthanalyticssettings.calculate
  • securitycenter.securityhealthanalyticssettings.get
  • securitycenter.subscription.*
  • securitycenter.websecurityscannersettings.calculate
  • securitycenter.websecurityscannersettings.get
roles/securitycenter.sourcesAdmin セキュリティ センターのソース管理者 ソースに対する管理者権限
  • resourcemanager.organizations.get
  • securitycenter.sources.*
組織
roles/securitycenter.sourcesEditor セキュリティ センターのソース編集者 ソースに対する読み取り / 書き込み権限
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.sources.update
組織
roles/securitycenter.sourcesViewer セキュリティ センターのソース閲覧者 ソースに対する読み取り権限
  • resourcemanager.organizations.get
  • securitycenter.sources.get
  • securitycenter.sources.list
組織

ロール: セキュリティ センター サービス エージェント

Security Command Center を有効にすると、service-org-organization-id@security-center-api.iam.gserviceaccount.com の形式でサービス アカウントが作成されます。このサービス アカウントには、組織レベルで securitycenter.serviceAgent のロールが自動的に付与されます。このロールを使用すると、Security Command Center のサービス アカウントが組織のアセット インベントリ メタデータの独自のコピーを継続的に作成、更新できるようになります。

この securitycenter.serviceAgent ロールは、次の権限を含む内部のロールです。

役割 役職 説明 権限 最下位のリソース
roles/securitycenter.serviceAgent セキュリティ センター サービス エージェント Google Cloud リソースのスキャンとセキュリティ スキャンをインポートするためのアクセス権

次のロールのすべての権限。

  • appengine.appViewer
  • cloudasset.viewer
  • compute.viewer
  • container.viewer
  • dlpscanner.policyReader
  • dlpscanner.scanReader
  • dlp.jobsReader

次の権限も追加されます。

  • resourcemanager.folders.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • storage.buckets.get
  • storage.buckets.list
  • storage.buckets.getIamPolicy
組織

roles/securitycenter.serviceAgent を追加するには、roles/resourcemanager.organizationAdmin が必要です。次のコマンドを実行してサービス アカウントにロールを追加できます。

gcloud organizations add-iam-policy-binding organization-id \
  --member="serviceAccount:service-org-organization-id@security-center-api.iam.gserviceaccount.com" \
  --role="roles/securitycenter.serviceAgent"

IAM ロールの詳細については、ロールについてをご覧ください。

Event Threat Detection

Identity and Access Management(IAM)のロールでは、Event Threat Detection API の使用方法について規定しています。以下は、Event Threat Detection で使用できる各 IAM ロールと、これらのロールに使用できるメソッドのリストです。これらのロールは組織レベルで適用します。

役割 役職 説明 権限 最下位のリソース
roles/threatdetection.editor Threat Detection 設定の編集者 ベータ版 すべての脅威検出設定に対する読み取り / 読み書き権限
  • threatdetection.*
組織
roles/threatdetection.viewer Threat Detection 設定の閲覧者 ベータ版 すべての脅威検出設定に対する読み取り権限
  • threatdetection.detectorSettings.get
  • threatdetection.sinkSettings.get
  • threatdetection.sourceSettings.get
組織

Web Security Scanner

Identity and Access Management(IAM)のロールでは、Web Security Scanner の使用方法について規定しています。次の表に、Web Security Scanner で使用できる各 IAM のロールと、これらのロールに使用できるメソッドを示します。これらのロールをプロジェクト レベルで付与します。ユーザーにセキュリティ スキャンを作成、管理する機能を付与するには、ユーザーをプロジェクトに追加し、ロールを使用して権限を付与します。

Web Security Scanner は、Web Security Scanner リソースに対して、より詳細なアクセス権を付与する基本ロール事前定義ロールをサポートしています。

IAM の基本の役割

以下では、基本ロールで付与される Web Security Scanner の権限について説明します。

役割 説明
オーナー すべての Web Security Scanner リソースに対する完全アクセス権
編集者 すべての Web Security Scanner リソースに対する完全アクセス権
閲覧者 Web Security Scanner に対してアクセス権を持たない

事前定義された IAM の役割

以下では、Web Security Scanner ロールで付与される Web Security Scanner の権限について説明します。

ロール 役職 説明 権限 最下位のリソース
roles/cloudsecurityscanner.editor Web Security Scanner 編集者 すべての Web Security Scanner リソースに対する完全アクセス権
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト
roles/cloudsecurityscanner.runner Web Security Scanner 実行者 スキャンとスキャン実行に対する読み取りアクセス権、およびスキャンを開始する権限
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scanruns.stop
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • cloudsecurityscanner.scans.run
プロジェクト
roles/cloudsecurityscanner.viewer Web Security Scanner 閲覧者 すべての Web Security Scanner リソースに対する読み取りアクセス権
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト

IAM ロールの詳細については、ロールについてをご覧ください。