オンボードの完了後にコントローラーを有効または無効にする

  • [アーティクル]

コントローラーを使用すると、Permissions Management で許可するアクセスのレベルを決定できます。

  • 有効にすると、環境への読み取りと書き込みのアクセスが許可されます。 Permission Management を通してアクセス許可を適切なサイズにして修復できます。

  • 無効にすると、お使いの環境に読み取り専用アクセス権が付与されます。

この記事では、オンボードの完了後に Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP) でコントローラーを有効または無効にする方法について説明します。

またこの記事では、オンボードの完了後に Microsoft Azure と Google Cloud Platform (GCP) でコントローラーを有効または無効にする方法についても説明します。 AWS でコントローラーを一旦有効にすると、無効にすることはできません。

AWS でコントローラーを有効にする

Note

オンボード中にコントローラーを無効にした場合は、AWS でコントローラーを有効にすることができます。 AWS でコントローラーを一旦有効にすると、無効にすることはできません。

  1. 個別のブラウザー ウィンドウで、メンバー アカウントの AWS コンソールにサインインします。

  2. Permissions Management のホーム ページにアクセスし、[設定] (歯車アイコン) を選択し、[データ コレクター] サブタブを選択します。

  3. [データ コレクター] ダッシュボードで、[AWS] を選択し、[構成の作成] を選択します。

  4. [Permissions Management のオンボード - AWS メンバー アカウントの詳細] ページで、[テンプレートの起動] を選択します。

    [AWS CloudFormation create stack] (AWS CloudFormation スタック作成) ページが開き、テンプレートが表示されます。

  5. [CloudTrailBucketName] ボックスに名前を入力します。

    AWS の [Trails] (トレイル) ページから [CloudTrailBucketName] 名をコピーして貼り付けることができます。

    Note

    クラウド バケット により、Permissions Management が監視する 1 つのアカウントのすべてのアクティビティが収集されます。 ここにクラウド バケットの名前を入力して、アクティビティ データを収集するために必要なアクセス許可を Permissions Management に付与します。

  6. Permissions Management プラットフォームから行う修復を自動的に実行できるようにするために、[コントローラーの有効化] ボックスのドロップダウン リストから [True] を選択して、Permissions Management に読み取りと書き込みのアクセス権を付与します。

  7. ページの一番下までスクロールし、[機能] ボックスで [I acknowledge that AWS CloudFormation might create IAM resources with custom names] (AWS CloudFormation がカスタム名を持つ IAM リソースを作成することを承認する) を選択します。 次に [スタックの作成] を選択します。

    この AWS CloudFormation スタックにより、データ収集に必要なアクセス許可 (ポリシー) を持つ収集ロールがメンバー アカウントに作成されます。 このロールには信頼ポリシーが設定されています。これにより、AWS OIDC アカウントで作成された OIDC ロールが、このロールにアクセスできます。 これらのエンティティは、CloudFormation スタックの [リソース] タブにリストされます。

  8. Permissions Management に戻り、[Permissions Management のオンボード - AWS メンバー アカウントの詳細] ページで、[次へ] を選択します。

  9. [Permissions Management のオンボード – 概要] ページで、追加した情報を確認して、[すぐに確認して保存] を選択します。

    次のメッセージが表示されます: Successfully created configuration. (構成が正常に作成されました。)

Azure でコントローラーを有効または無効にする

Azure のコントローラーは、管理グループのサブスクリプション レベルで有効または無効にすることができます。

  1. Azure の [ホーム] ページで、[管理グループ] を選択します。

  2. コントローラーを有効または無効にするグループを見つけ、矢印を選択してグループ メニューを展開し、サブスクリプションを表示します。 または、グループに一覧表示されている [合計サブスクリプション] の数を選択することもできます。

  3. コントローラーを有効または無効にするサブスクリプションを選択し、その後ナビゲーション メニューの [アクセス制御 (IAM)] をクリックします。

  4. [アクセスの確認] セクションの [検索] ボックスに、「Cloud Infrastructure Entitlement Management (クラウド インフラストラクチャ エンタイトルメント管理)」と入力します。

    [Cloud Infrastructure Entitlement Management assignments] (クラウド インフラストラクチャ エンタイトルメント管理の割り当て) ページが表示され、自分に割り当てられているロールが表示されます。

    • 読み取り専用アクセス許可を持っている場合、[ロール] 列に [閲覧者] と表示されます。
    • 管理アクセス許可を持っている場合、[ロール] 列に [ユーザー アクセス管理者] と表示されます。

  5. 管理ロールの割り当てを追加するには、[アクセス制御 (IAM)] ページに戻り、[ロールの割り当ての追加] を選択します。

  6. クラウド インフラストラクチャ エンタイトルメント管理のロール割り当てを追加または削除します。

  7. Permissions Management のホーム ページにアクセスし、[設定] (歯車アイコン) を選択し、[データ コレクター] サブタブを選択します。

  8. [データ コレクター] ダッシュボードで、[Azure] を選択し、[構成の作成] を選択します。

  9. [Permissions Management のオンボード - Azure サブスクリプションの詳細] ページで、[サブスクリプション ID] を入力し、[次へ] を選択します。

  10. [Permissions Management のオンボード – 概要] ページで、コントローラーのアクセス許可を確認して、[すぐに確認して保存] を選択します。

    次のメッセージが表示されます: Successfully Created Configuration. (構成が正常に作成されました。)

GCP でコントローラーを有効または無効にする

  1. gcloud auth login を実行します。

  2. 画面に表示される指示に従い、Google アカウントへのアクセスを承認します。

  3. sh mciem-workload-identity-pool.sh を実行して、ワークロード ID プール、プロバイダー、サービス アカウントを作成します。

  4. sh mciem-member-projects.sh を実行して、各メンバー プロジェクトにアクセスするための Permissions Management アクセス許可を付与します。

    • Permissions Management を使用してアクセス許可を管理する場合、[Y] を選択してコントローラーを有効にします。
    • プロジェクトを読み取り専用モードでオンボードする場合、[N] を選択してコントローラーを無効にします。

  5. 必要に応じて、mciem-enable-gcp-api.sh を実行して、推奨されているすべての GCP API を有効にします。

  6. Permissions Management のホーム ページにアクセスし、[設定] (歯車アイコン) を選択し、[データ コレクター] サブタブを選択します。

  7. [データ コレクター] ダッシュボードで、[GCP] を選択し、[構成の作成] を選択します。

  8. [Permissions Management のオンボード - Microsoft Entra OIDC アプリの作成] ページで、[次へ] を選択します。

  9. [Permissions Management のオンボード - GCP OIDC アカウントの詳細 と IDP アクセス] ページで、[OIDC プロジェクト番号][OIDC プロジェクト ID] を入力し、[次へ] を選択します。

  10. [Permissions Management のオンボード - GCP プロジェクト ID] ページで、[プロジェクト ID] を入力し、[次へ] を選択します。

  11. [Permissions Management のオンボード – 概要] ページで、追加した情報を確認して、[すぐに確認して保存] を選択します。

    次のメッセージが表示されます: Successfully Created Configuration. (構成が正常に作成されました。)

次のステップ