このドキュメントでは、Security Command Center のエンタープライズ ティアで体制の検出結果ハンドブックの一般公開バケットの修復を有効にする手順ガイドについて説明します。
概要
Security Command Center は、次の Playbook の脆弱性の追加の修正をサポートしています。
- 体制の検出結果 - 一般
- Jira による体制の検出結果
- ServiceNow による体制の検出結果
これらの体制の検出結果ハンドブックには、OPEN PORT、PUBLIC IP ADDRESS、PUBLIC BUCKET ACL の検出結果を修正するブロックが含まれています。これらの検出タイプの詳細については、脆弱性の検出結果をご覧ください。
ハンドブックは、OPEN PORT と PUBLIC IP ADDRESS の検出結果を処理するように事前構成されています。PUBLIC_BUCKET_ACL の検出結果を修正するには、ハンドブックの一般公開バケットの修復を有効にする必要があります。
ハンドブックで一般公開バケットの修復を有効にする
Security Health Analytics(SHA)検出機能によって一般公開されている Cloud Storage バケットが識別され、PUBLIC_BUCKET_ACL の検出結果が生成されると、Security Command Center Enterprise は検出結果を取り込み、ハンドブックを添付します。セキュリティ対策の検出結果ハンドブックで公開バケットの修復を有効にするには、カスタム IAM ロールを作成し、そのロールに特定の権限を構成し、作成したカスタムロールを既存のプリンシパルに付与する必要があります。
始める前に
一般公開バケットへのアクセスを修正するには、Cloud Storage 統合の構成済みで実行中のインスタンスが必要です。統合構成を検証するには、Enterprise のユースケースを更新するをご覧ください。
カスタム IAM ロールを作成する
カスタム IAM ロールを作成し、そのロールに対する特定の権限を構成するには、次の手順を行います。
Google Cloud コンソールの [IAM ロール] ページに移動します。
[ロールを作成] をクリックして、統合に必要な権限を持つカスタムロールを作成します。
新しいカスタムロールの場合は、タイトル、説明、一意の ID を指定します。
[ロールのリリース ステージ] を [一般提供] に設定します。
作成したロールに次の権限を追加します。
resourcemanager.organizations.setIamPolicy[作成] をクリックします。
既存のプリンシパルにカスタムロールを付与する
選択したプリンシパルに新しいカスタムロールを付与すると、そのプリンシパルは組織内の任意のユーザーの権限を変更できるようになります。
既存のプリンシパルにカスタムロールを付与する手順は次のとおりです。
Google Cloud コンソールの [IAM] ページに移動します。
[フィルタ] フィールドに、Cloud Storage の統合に使用する Workload Identity Email の値を貼り付け、既存のプリンシパルを検索します。
[プリンシパルを編集します] をクリックします。 [「PROJECT」へのアクセス権を付与します] ダイアログが開きます。
[ロールを割り当てる] で、 [別のロールを追加] をクリックします。
作成したカスタムロールを選択し、[保存] をクリックします。