このチュートリアルでは、Infrastructure as Code(IaC)が組織のポリシーまたは Security Health Analytics の検出項目に違反していないことを確認する方法について説明します。
目標
- セキュリティ体制を作成します。
- 体制をプロジェクトにデプロイします。
- Terraform ファイルの例で違反を確認します。
- Terraform ファイルの違反を修正し、ファイルを再度確認して修正を確認します。
始める前に
権限を設定する
-
組織に次のロールがあることを確認します。 Project Creator and Security Posture Admin
ロールを確認する
-
Google Cloud コンソールの [IAM] ページに移動します。
[IAM] に移動 - 組織を選択します。
-
[プリンシパル] 列で、自分のメールアドレスを含む行を見つけます。
自分のメールアドレスがその列にない場合、ロールは割り当てられていません。
- 自分のメールアドレスを含む行の [ロール] 列で、ロールのリストに必要なロールが含まれているかどうかを確認します。
ロールを付与する
-
Google Cloud コンソールの [IAM] ページに移動します。
[IAM] に移動 - 組織を選択します。
- [ アクセスを許可] をクリックします。
- [新しいプリンシパル] フィールドに、自分のメールアドレスを入力します。
- [ロールを選択] リストでロールを選択します。
- 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
- [保存] をクリックします。
-
Cloud Shell を設定する
-
Google Cloud コンソールで、「Cloud Shell をアクティブにする」をクリックします。
Google Cloud コンソールの下部で Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。Cloud Shell はシェル環境です。Google Cloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています。セッションが初期化されるまで数秒かかることがあります。
- 自分の組織 ID を確認します。
gcloud organizations list
環境を準備する
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
- Google Cloud CLI をインストールします。
-
gcloud CLI を初期化するには:
gcloud init
-
Google Cloud プロジェクトを作成または選択します。
-
Google Cloud プロジェクトを作成します。
gcloud projects create PROJECT_ID
PROJECT_ID
は、作成する Google Cloud プロジェクトの名前に置き換えます。 -
作成した Google Cloud プロジェクトを選択します。
gcloud config set project PROJECT_ID
PROJECT_ID
は、実際の Google Cloud プロジェクト名に置き換えます。
-
-
Security posture service and Security Command Center management API を有効にします。
gcloud services enable securityposture.googleapis.com
securitycentermanagement.googleapis.com - Google Cloud CLI をインストールします。
-
gcloud CLI を初期化するには:
gcloud init
-
Google Cloud プロジェクトを作成または選択します。
-
Google Cloud プロジェクトを作成します。
gcloud projects create PROJECT_ID
PROJECT_ID
は、作成する Google Cloud プロジェクトの名前に置き換えます。 -
作成した Google Cloud プロジェクトを選択します。
gcloud config set project PROJECT_ID
PROJECT_ID
は、実際の Google Cloud プロジェクト名に置き換えます。
-
-
Security posture service and Security Command Center management API を有効にします。
gcloud services enable securityposture.googleapis.com
securitycentermanagement.googleapis.com - プロジェクト ID をコピーします。
gcloud projects describe PROJECT_ID
- Terraform を初期化します。
terraform init
対策を作成してデプロイする
Cloud Shell で、Cloud Shell エディタを起動します。エディタを起動するには、Cloud Shell ウィンドウのツールバーにある [エディタを開く] をクリックします。
example-standard.yaml
という名前の YAML ファイルを作成します。次のコードをファイルに貼り付けます。
name: organizations/ORGANIZATION_ID/locations/global/postures/example-standard state: ACTIVE policySets: - policies: - constraint: orgPolicyConstraintCustom: customConstraint: actionType: ALLOW condition: "resource.initialNodeCount == 3" description: Set initial node count to be exactly 3. displayName: fixedNodeCount methodTypes: - CREATE name: organizations/ORGANIZATION_ID/customConstraints/custom.fixedNodeCount resourceTypes: - container.googleapis.com/NodePool policyRules: - enforce: true policyId: fixedNodeCount - constraint: securityHealthAnalyticsCustomModule: config: customOutput: {} description: Set MTU for a network to be exactly 1000. predicate: expression: "!(resource.mtu == 1000)" recommendation: Only create networks whose MTU is 1000. resourceSelector: resourceTypes: - compute.googleapis.com/Network severity: HIGH displayName: fixedMTU moduleEnablementState: ENABLED policyId: fixedMTU - constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: BUCKET_POLICY_ONLY_DISABLED policyId: bucket_policy_only_disabled - constraint: securityHealthAnalyticsModule: moduleEnablementState: ENABLED moduleName: BUCKET_LOGGING_DISABLED policyId: bucket_logging_disabled policySetId: policySet1
ORGANIZATION_ID
は、実際の組織 ID に置き換えます。Cloud Shell で体制を作成します。
gcloud scc postures create organizations/ORGANIZATION_ID/locations/global/postures/example-standard --posture-from-file=example-standard.yaml
コマンドによって生成された体制リビジョン ID をコピーします。
この体制をプロジェクトにデプロイします。
gcloud scc posture-deployments create organizations/ORGANIZATION_ID/locations/global/postureDeployments/example-standard \ --posture-name=organizations/ORGANIZATION_ID/locations/global/postures/example-standard \ --posture-revision-id="POSTURE_REVISION_ID" \ --target-resource=projects/PROJECT_ID
次のように置き換えます。
ORGANIZATION_ID
: 組織の ID。POSTURE REVISION_ID
: コピーした体制リビジョン ID。PROJECT_ID
: 実際のプロジェクト ID。
Terraform ファイルを作成して検証する
Cloud Shell で Cloud Shell エディタを起動します。
main.tf
という名前の Terraform ファイルを作成します。次のコードをファイルに貼り付けます。
terraform { required_providers { google = { source = "hashicorp/google" } } } provider "google" { region = "us-central1" zone = "us-central1-c" } resource "google_compute_network" "example_network"{ name = "example-network-1" delete_default_routes_on_create = false auto_create_subnetworks = false routing_mode = "REGIONAL" mtu = 100 project = "PROJECT_ID" } resource "google_container_node_pool" "example_node_pool" { name = "example-node-pool-1" cluster = "example-cluster-1" project = "PROJECT_ID" initial_node_count = 2 node_config { preemptible = true machine_type = "e2-medium" } } resource "google_storage_bucket" "example_bucket" { name = "example-bucket-1" location = "EU" force_destroy = true project = "PROJECT_ID" uniform_bucket_level_access = false }
PROJECT_ID
は、作成したプロジェクトのプロジェクト ID に置き換えます。Cloud Shell で Terraform 計画ファイルを作成し、JSON 形式に変換します。
terraform plan -out main.plan terraform show -json main.plan > mainplan.json
mainplan.json
の IaC 検証レポートを作成します。gcloud scc iac-validation-reports create organizations/ORGANIZATION_ID/locations/global --tf-plan-file=mainplan.json
このコマンドは、次の違反を説明する IaC 検証レポートを返します。
example_network
のmtu
は 1,000 ではありません。example_node_pool
のinitial_node_count
が 3 ではありません。example_bucket
で、均一なバケットレベルのアクセスが有効になっていません。example_bucket
でロギングが有効になっていません。
違反を解決する
Cloud Shell で Cloud Shell エディタを起動します。
main.tf
ファイルに次の変更を加えます。terraform { required_providers { google = { source = "hashicorp/google" } } } provider "google" { region = "us-central1" zone = "us-central1-c" } resource "google_compute_network" "example_network"{ name = "example-network-1" delete_default_routes_on_create = false auto_create_subnetworks = false routing_mode = "REGIONAL" mtu = 1000 project = "PROJECT_ID" } resource "google_container_node_pool" "example_node_pool" { name = "example-node-pool-1" cluster = "example-cluster-1" project = "PROJECT_ID" initial_node_count = 3 node_config { preemptible = true machine_type = "e2-medium" } } resource "google_storage_bucket" "example_bucket" { name = "example-bucket-1" location = "EU" force_destroy = true project = "PROJECT_ID" uniform_bucket_level_access = true logging { log_bucket = "my-unique-logging-bucket" // Create a separate bucket for logs log_object_prefix = "tf-logs/" // Optional prefix for better structure } }
PROJECT_ID
は、作成したプロジェクトのプロジェクト ID に置き換えます。Cloud Shell で、Terraform 計画ファイルを作成し、JSON 形式に変換します。
terraform plan -out main.plan terraform show -json main.plan > mainplan.json
mainplan.json
の IaC 検証レポートを再作成します。gcloud scc iac-validation-reports create organizations/ORGANIZATION_ID/locations/global --tf-plan-file=mainplan.json
クリーンアップ
このチュートリアルで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、リソースを含むプロジェクトを削除するか、プロジェクトを維持して個々のリソースを削除します。
プロジェクトの削除
Delete a Google Cloud project:
gcloud projects delete PROJECT_ID
次のステップ
- 組織のポリシーに照らして IaC を検証するを確認します。
- Google Cloud に関するリファレンス アーキテクチャ、図、ベスト プラクティスを確認する。Cloud アーキテクチャ センター をご覧ください。