認証

> このページでは、Security Command Center、Event Threat Detection、Web Security Scanner の認証情報を説明しています。

Security Command Center の認証

このセクションでは、Security Command Center の認証情報について説明します。

サポート対象の認証方法

Security Command Center では、次の認証方法がサポートされています。

サービス アカウント

ローカルのアプリ開発でも本番環境での開発でも、ほとんどの場合、サービス アカウントの使用をおすすめします。サービス アカウントを使用して認証を設定する方法の例については、プログラムによる Security Command Center へのアクセスをご覧ください。

本番環境のアプリケーションで認証を設定する方法について詳しくは、サーバー間での本番環境アプリケーションの認証の設定をご覧ください。

ユーザー アカウント

エンドユーザーに代わってアプリケーションがリソースにアクセスする必要がある場合、ユーザーをアプリケーションに直接認証させることができます。 ほとんどのケースでは、サービス アカウントの使用をおすすめします。

Security Command Center でユーザー アカウントを使用する理由の例:

  • アプリケーションでエンドユーザー認証を使用する場合、メソッドを呼び出すときに OAuth スコープを指定する必要があります。メソッドごとの OAuth スコープについては、Security Command Center のリファレンスをご覧ください。

ユーザー アカウントを使用した認証を設定する方法については、エンドユーザーとして認証をご覧ください。

Event Threat Detection の認証

このセクションでは、Event Threat Detection の認証情報について説明します。

サポート対象の認証方法

Event Threat Detection では、次の認証方法がサポートされています。

サービス アカウント

ローカルのアプリ開発でも本番環境での開発でも、ほとんどの場合、サービス アカウントの使用をおすすめします。

本番環境のアプリケーションで認証を設定する方法について詳しくは、サーバー間での本番環境アプリケーションの認証の設定をご覧ください。

ユーザー アカウント

エンドユーザーに代わってアプリケーションがリソースにアクセスする必要がある場合、ユーザーをアプリケーションに直接認証させることができます。 ほとんどのユースケースでは、サービス アカウントの使用をおすすめします。

Event Threat Detection でユーザー アカウントを使用する理由の例:

アプリケーションでエンドユーザー認証を使用する場合、メソッドを呼び出すときに OAuth スコープを指定する必要があります。メソッドごとの OAuth スコープについては、Security Command Center のリファレンスをご覧ください。

ユーザー アカウントを使用した認証を設定する方法については、エンドユーザーとして認証をご覧ください。

Web Security Scanner の認証

このセクションでは、Web Security Scanner API を呼び出すための認証情報について説明します。

サポート対象の認証方法

Web Security Scanner API では、次の認証方法がサポートされています。API に対して呼び出しを行うには、次に示す手法を使用します。

サービス アカウント

ローカルで開発する場合、本番環境のアプリケーションで使用する場合を問わず、ほとんどのケースで、サービス アカウントの使用が推奨されています。

Web Security Scanner への認証にサービス アカウントを使用するには、サービス アカウントの作成の手順に従います。キーのタイプとして JSON を選択します。

サービス アカウントを作成すると、ブラウザのデフォルトのダウンロード場所にサービス アカウントのキーがダウンロードされます。

署名なしトークン

cURL で HTTP リクエストを行うなど、Web Security Scanner API を直接呼び出す場合は、Authorization ヘッダーで署名なしトークンとして認証を渡します。サービス アカウントを使用して署名なしトークンを取得する手順は次のとおりです。

  1. gcloud コマンドライン ツールをインストールします
  2. 以下のコマンドで、サービス アカウントに対して認証します。key-file は、サービス アカウント キーのファイルのパスです。

    gcloud auth activate-service-account --key-file key-file
    
  3. サービス アカウントを使用して承認トークンを取得します。

    gcloud auth print-access-token
    

    このコマンドはアクセス トークンの値を返します。

  4. API を呼び出すときに、トークン値を Authorization ヘッダーで bearer トークンとして渡します。

    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer access-token' \
      'https://websecurityscanner.googleapis.com/v1/projects/project-id/scanConfigs' \
    

アクセス制御

役割を使用して、認証された ID のリソースに対するアクセス権を制限します。本番環境アプリケーションを作成するときは、該当する Google Cloud API、機能、リソースを操作するために必要な権限のみを ID に付与します。

これらのロールの詳細については、アクセス制御をご覧ください。

次のステップ

  • Google Cloud 認証について詳しくは、認証ガイドをご覧ください。