Google Cloud Platform (GCP) プロジェクトをオンボードする

[アーティクル]
12/20/2023

この記事では、Microsoft Entra Permissions Management で Google Cloud Platform (GCP) プロジェクトをオンボードする方法について説明します。

Note

この記事のタスクを実行するには、グローバル管理者ロールの割り当てが必要です。

説明

GCP の場合、アクセス許可管理のスコープは GCP プロジェクトです。 GCP プロジェクトは、Azure のサブスクリプションのように、GCP のリソースの論理的なコレクションですが、アプリケーションの登録や OIDC の設定など、その他の構成も行うことができます。

GCP と Azure には複数の可動部分があり、オンボードの前に構成する必要があります。

Microsoft Entra OIDC アプリ
GCP のワークロード ID
利用される OAuth2 機密クライアント許可
収集するアクセス許可を持つ GCP サービスアカウント

GCP プロジェクトをオンボードする

Permissions Management の起動時に [データコレクター] ダッシュボードが表示されない場合:
- Permissions Management のホームページで、[設定] (歯車アイコン) を選択し、[データコレクター] サブタブを選択します。
[データコレクター] タブで [GCP] を選択し、[構成の作成] を選択します。

1. Microsoft Entra OIDC アプリを作成する。

[Permissions Management のオンボード - Microsoft Entra OIDC アプリの作成] ページで、[OIDC Azure アプリ名] を入力します。

このアプリは、GCP プロジェクトへの OpenID Connect (OIDC) 接続を設定するために使用されます。 OIDC は、OAuth 2.0 ファミリの仕様に基づく相互運用可能な認証プロトコルです。生成されるスクリプトにより、この指定した名前のアプリが、適切な構成を使用して Microsoft Entra テナントで作成されます。
アプリ登録を作成するには、スクリプトをコピーして、それをコマンドラインアプリで実行します。
Note
1. アプリが作成されたことを確認するには、Azure で [アプリの登録] を開いて、[すべてのアプリケーション] タブでアプリを見つけます。
2. アプリ名を選択して [API の公開] ページを開きます。 [概要] ページに表示される [アプリケーション ID URI] は、GCP アカウントで OIDC 接続を行うときに使用される "対象ユーザー値" です。
3. Permissions Management に戻り、[Permissions Management Onboarding - Microsoft Entra OIDC App Creation](Permissions Management のオンボード - Microsoft Entra OIDC アプリの作成) ウィンドウで [次へ] を選択します。

2. GCP OIDC プロジェクトを設定する。

[Permissions Management Onboarding - GCP OIDC Account Details & IDP Access] (Permissions Management のオンボード - GCP OIDC アカウントの詳細と IDP アクセス) ページで、OIDC プロバイダーとプールを作成する GCP プロジェクトの OIDC プロジェクト番号と OIDC プロジェクト ID を入力します。ロール名は要件に応じて変更できます。

Note

GCP プロジェクトのプロジェクト番号とプロジェクト ID は、プロジェクトの GCP の [ダッシュボード] ページの [Project info] (プロジェクト情報) パネルで確認できます。
要件に応じて、[OIDC Workload Identity Pool Id] (OIDC ワークロード ID のプール ID)、[OIDC Workload Identity Pool Provider Id] (OIDC ワークロード ID のプールプロバイダー ID)、[OIDC Service Account Name] (OIDC サービスアカウント名) を変更できます。

必要に応じて、G-Suite 統合を有効にするために [G-Suite IDP Secret Name] (G-Suite IDP シークレット名) と [G-Suite IDP User Email] (G-Suite IDP ユーザーの電子メール) を指定します。
この時点でスクリプトをダウンロードして実行するか、Google Cloud Shell でそうすることもできます。
セットアップスクリプトが正常に実行されたら、[次へ] を選択します。

GCP プロジェクトを管理するには、3 つのオプションから選択します。

オプション 1: 自動的に管理する

自動管理オプションを使用すると、追加の構成なしでプロジェクトを自動的に検出してモニターできます。プロジェクトのリストを検出し、収集のためにオンボードする手順は、次のとおりです。

プロジェクト、フォルダー、または組織のレベルで前の手順で作成したサービスアカウントに、ビューアーとセキュリティレビュー担当者のロールを付与します。

任意のプロジェクトでコントローラーモードをオンにするには、次のロールをその特定のプロジェクトに追加します。

ロール管理者
セキュリティ管理者

Google Cloud Shell で実行するために必要なコマンドは、プロジェクト、フォルダー、または組織の各スコープの [承認の管理] 画面に一覧表示されます。これは、GCP コンソールでも構成されます。

[次へ] を選択します。

オプション 2: 認可システムを入力する

Permissions Management を使用して管理および監視する特定の GCP メンバープロジェクトのみを指定できます (コレクターあたり最大 100 個)。監視対象のGCP メンバープロジェクトを構成するには、こちらの手順に従います。

[Permissions Management Onboarding - GCP Project Ids] (Permissions Management のオンボード - GCP プロジェクト ID) ページで、[プロジェクト ID] を入力します。

最大 100 個の GCP プロジェクト ID をコンマ区切りで入力できます。
この時点でスクリプトをダウンロードして実行できます。また、Google Cloud Shell でこれを行うこともできます。

任意のプロジェクトでコントローラーモードを "オン" にするには、以下のロールをその特定のプロジェクトに追加します。
- ロール管理者
- セキュリティ管理者
[次へ] を選択します。

オプション 3: 認可システムを選択する

このオプションでは、クラウドインフラストラクチャエンタイトルメント管理アプリケーションからアクセスできるすべてのプロジェクトを検出します。

プロジェクト、フォルダー、または組織のレベルで前の手順で作成したサービスアカウントに、ビューアーとセキュリティレビュー担当者のロールを付与します。