次の方法で共有


Google Cloud Platform (GCP) プロジェクトをオンボードする

この記事では、Microsoft Entra Permissions Management で Google Cloud Platform (GCP) プロジェクトをオンボードする方法について説明します。

Note

この記事のタスクを実行するには、Permissions Management 管理者である必要があります。

説明

GCP の場合、アクセス許可管理のスコープは GCP プロジェクトです。 GCP プロジェクトは、Azure のサブスクリプションのように、GCP のリソースの論理的なコレクションですが、アプリケーションの登録や OIDC の設定など、その他の構成も行うことができます。

GCP と Azure には複数の可動部分があり、オンボードの前に構成する必要があります。

  • Microsoft Entra OIDC アプリ
  • GCP のワークロード ID
  • 利用される OAuth2 機密クライアント許可
  • 収集するアクセス許可を持つ GCP サービス アカウント

GCP プロジェクトをオンボードする

  1. Permissions Management の起動時に [データ コレクター] ダッシュボードが表示されない場合:

    • Permissions Management のホーム ページで、[設定] (歯車アイコン) を選択し、[データ コレクター] サブタブを選択します。
  2. [データ コレクター] タブで [GCP] を選択し、[構成の作成] を選択します。

1. Microsoft Entra OIDC アプリを作成する。

  1. [Permissions Management のオンボード - Microsoft Entra OIDC アプリの作成] ページで、[OIDC Azure アプリ名] を入力します。

    このアプリは、GCP プロジェクトへの OpenID Connect (OIDC) 接続を設定するために使用されます。 OIDC は、OAuth 2.0 ファミリの仕様に基づく相互運用可能な認証プロトコルです。 生成されるスクリプトにより、この指定した名前のアプリが、適切な構成で Microsoft Entra テナントに作成されます。

  2. アプリ登録を作成するには、スクリプトをコピーして、それをコマンド ライン アプリで実行します。

    Note

    1. アプリが作成されたことを確認するには、Azure で [アプリの登録] を開いて、[すべてのアプリケーション] タブでアプリを見つけます。
    2. アプリ名を選択して [API の公開] ページを開きます。 [概要] ページに表示される [アプリケーション ID URI] は、GCP アカウントで OIDC 接続を行うときに使用される "対象ユーザー値" です。
    3. Permissions Management に戻り、[Permissions Management Onboarding - Microsoft Entra OIDC App Creation](Permissions Management のオンボード - Microsoft Entra OIDC アプリの作成) ウィンドウで [次へ] を選択します。

2. GCP OIDC プロジェクトを設定する。

  1. [Permissions Management Onboarding - GCP OIDC Account Details & IDP Access] (Permissions Management のオンボード - GCP OIDC アカウントの詳細と IDP アクセス) ページで、OIDC プロバイダーとプールを作成する GCP プロジェクトの OIDC プロジェクト番号OIDC プロジェクト ID を入力します。 ロール名は要件に応じて変更できます。

    Note

    GCP プロジェクトのプロジェクト番号プロジェクト ID は、プロジェクトの GCP の [ダッシュボード] ページの [Project info] (プロジェクト情報) パネルで確認できます。

  2. 要件に応じて、[OIDC Workload Identity Pool Id] (OIDC ワークロード ID のプール ID)[OIDC Workload Identity Pool Provider Id] (OIDC ワークロード ID のプール プロバイダー ID)[OIDC Service Account Name] (OIDC サービス アカウント名) を変更できます。

    必要に応じて、G-Suite 統合を有効にするために [G-Suite IDP Secret Name] (G-Suite IDP シークレット名)[G-Suite IDP User Email] (G-Suite IDP ユーザーの電子メール) を指定します。

  3. この時点でスクリプトをダウンロードして実行するか、Google Cloud Shell でそうすることもできます。

  4. セットアップ スクリプトが正常に実行されたら、[次へ] を選択します。

GCP プロジェクトを管理するには、3 つのオプションから選択します。

オプション 1: 自動的に管理する

自動管理オプションを使用すると、追加の構成なしでプロジェクトを自動的に検出してモニターできます。 プロジェクトのリストを検出し、収集のためにオンボードする手順は、次のとおりです。

  1. プロジェクト、フォルダー、または組織のレベルで前の手順で作成したサービス アカウントに、ビューアーセキュリティ レビュー担当者のロールを付与します。

任意のプロジェクトでコントローラー モードをオンにするには、次のロールをその特定のプロジェクトに追加します。

  • ロール管理者
  • セキュリティ管理者

Google Cloud Shell で実行するために必要なコマンドは、プロジェクト、フォルダー、または組織の各スコープの [承認の管理] 画面に一覧表示されます。 これは、GCP コンソールでも構成されます。

  1. [次へ] を選択します。

オプション 2: 認可システムを入力する

Permissions Management を使用して管理および監視する特定の GCP メンバー プロジェクトのみを指定できます (コレクターあたり最大 100 個)。 監視対象のGCP メンバー プロジェクトを構成するには、こちらの手順に従います。

  1. [Permissions Management Onboarding - GCP Project Ids] (Permissions Management のオンボード - GCP プロジェクト ID) ページで、[プロジェクト ID] を入力します。

    最大 100 個の GCP プロジェクト ID をコンマ区切りで入力できます。

  2. この時点でスクリプトをダウンロードして実行できます。また、Google Cloud Shell でこれを行うこともできます。

    任意のプロジェクトでコントローラー モードを "オン" にするには、以下のロールをその特定のプロジェクトに追加します。

    • ロール管理者
    • セキュリティ管理者
  3. [次へ] を選択します。

オプション 3: 認可システムを選択する

このオプションでは、クラウド インフラストラクチャ エンタイトルメント管理アプリケーションからアクセスできるすべてのプロジェクトを検出します。

  1. プロジェクト、フォルダー、または組織のレベルで前の手順で作成したサービス アカウントに、ビューアーセキュリティ レビュー担当者のロールを付与します。

任意のプロジェクトでコントローラー モードをオンにするには、次のロールをその特定のプロジェクトに追加します。

  • ロール管理者
  • セキュリティ管理者

Google Cloud Shell で実行するために必要なコマンドは、プロジェクト、フォルダー、または組織の各スコープの [承認の管理] 画面に一覧表示されます。 これは、GCP コンソールでも構成されます。

  1. [次へ] を選択します。

3. 確認して保存する。

  1. [Permissions Management Onboarding – Summary] (Permissions Management のオンボード – 概要) ページで、追加した情報を確認して、[Verify Now & Save] (すぐに確認して保存) を選択します。

    次のメッセージが表示されます: Successfully Created Configuration. (構成が正常に作成されました。)

    [データ コレクター] タブの [Recently Uploaded On] (最近のアップロード) 列に [Collecting] (収集中) と表示されます。 [Recently Transformed On] (最近の変換) 列に [Processing] (処理中) と表示されます。

    Permissions Management UI の [状態] 列には、現在のデータ収集のステップが表示されます。

    • 保留中: Permissions Management はまだ検出もオンボードも開始していません。
    • 検出中: Permissions Management は認可システムを検出しています。
    • 進行中: Permissions Management は認可システムの検出を完了し、オンボード中です。
    • オンボード済み: データ収集が完了し、検出されたすべての認可システムが Permissions Management にオンボードされます。

4. データを表示する。

  1. データを表示するには、[Authorization Systems] (認可システム) タブを選択します。

    テーブルの [状態] 列に [Collecting Data] (データを収集中) と表示されます。

    データ収集プロセスには時間がかかり、ほとんどの場合、約 4 から 5 時間かかります。 期間は、使用している承認システムのサイズと、収集に使用できるデータの量によって異なります。

次のステップ