Event Threat Detection が VPC Service Controls の境界にアクセスできるようにする

このドキュメントでは、上り(内向き)ルールを追加して、VPC Service Controls の境界内の Security Command Center で Event Threat Detection がロギング ストリームをモニタリングできるようにする方法について説明します。組織で VPC Service Controls を使用して、Event Threat Detection でモニタリングするプロジェクトのサービスを制限する場合は、このタスクを行います。Event Threat Detection の詳細については、Event Threat Detection の概要をご覧ください。

始める前に

Make sure that you have the following role or roles on the organization: Cloud Asset Service Agent (roles/cloudasset.serviceAgent).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM に移動
  2. 組織を選択します。
  3. [ アクセスを許可] をクリックします。

  4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

  5. [ロールを選択] リストでロールを選択します。
  6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
  7. [保存] をクリックします。

    8. 上り(内向き)ルールを作成する

    Event Threat Detection が VPC Service Controls の境界内の Security Command Center でロギング ストリームをモニタリングできるようにするには、これらの境界に必要な上り(内向き)ルールを追加します。Event Threat Detection でモニタリングする境界ごとに、次の操作を行います。

    詳細については、VPC Service Controls ドキュメントのサービス境界の上り(内向き)ポリシーと下り(外向き)ポリシーの更新をご覧ください。

    コンソール

    1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。

      [VPC Service Controls] に移動

    2. 組織またはプロジェクトを選択します。
    3. 組織を選択した場合は、[アクセス ポリシーを選択] をクリックし、更新する境界に関連付けられているアクセス ポリシーを選択します。

    4. 更新する境界の名前をクリックします。

      変更する必要があるサービス境界を確認するには、ログで RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 違反を示すエントリを確認します。これらのエントリで、servicePerimeterName フィールドを確認します。

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. [境界を編集] をクリックします。
    6. [上り(内向き)ポリシー] をクリックします。
    7. [上り(内向き)ルールを追加] をクリックします。

    8. [送信元] セクションで、次の詳細を設定します。

      1. [ID] で、[選択されている ID とグループ] を選択します。
      2. [ID の追加] をクリックします。

      3. セキュリティ センター サービス エージェントのメールアドレスを入力します。サービス エージェントのアドレスは次の形式です。

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        ORGANIZATION_ID は、実際の組織 ID に置き換えます。

      4. サービス エージェントを選択するか、Enter キーを押して、[ID を追加] をクリックします。
      5. [ソース] で [すべてのソース] を選択します。

    9. [宛先] セクションで、次の詳細を設定します。

      1. [プロジェクト] で、[すべてのプロジェクト] を選択します。
      2. [オペレーションまたは IAM ロール] で、[オペレーションを選択] を選択します。

      3. [オペレーションを追加] をクリックして、次のオペレーションを追加します。

        • cloudasset.googleapis.com サービスを追加します。
          1. [すべてのメソッド] をクリックします。
          2. [すべてのメソッドを追加] をクリックします。
    10. [保存] をクリックします。

    gcloud

    1. 割り当てプロジェクトがまだ設定されていない場合は、設定します。Access Context Manager API が有効になっているプロジェクトを選択します。

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      QUOTA_PROJECT_ID は、請求と割り当てに使用するプロジェクトの ID に置き換えます。

    2. 次の内容のファイルを ingress-rule.yaml という名前で作成します。

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: cloudasset.googleapis.com
      methodSelectors:
      - method: '*'
    resources:
    - '*'

      ORGANIZATION_ID は、実際の組織 ID に置き換えます。

    3. 上り(内向き)ルールを境界に追加します。

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      次のように置き換えます。

      • PERIMETER_NAME: 境界の名前。例: accessPolicies/1234567890/servicePerimeters/example_perimeter

        変更する必要があるサービス境界を確認するには、ログで RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 違反を示すエントリを確認します。これらのエントリで、servicePerimeterName フィールドを確認します。 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    詳細については、上り(内向き)ルールと下り(外向き)ルールをご覧ください。

    次のステップ