Microsoft Defender for Cloud では、Google Cloud Platform (GCP) アカウントを Defender for Cloud にオンボードするために必要なすべてのリソースを含むデプロイ スクリプトが生成されます。 ただし、2024 年 5 月の時点で、GCP では、2024 年 5 月以降に作成されたすべての組織に対して、 ドメイン制限付き共有 と呼ばれるポリシーが既定で適用されます。 このポリシーにより、GCP 組織の外部のサービス アカウントに対する ID およびアクセス管理 (IAM) アクセス許可の割り当てが禁止されます。 このポリシーにより、Defender for Cloud によって生成されたデプロイ スクリプトが失敗する可能性があります。
このページでは、ドメイン制限付き共有ポリシーを解決し、GCP アカウントが Defender for Cloud に正しく接続されていることを確認する手順について説明します。
[前提条件]
Microsoft Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、無料でのサインアップができます。
Azure サブスクリプションでの Microsoft Defender for Cloud のセットアップ。
関連する Azure サブスクリプションの共同作成者レベルのアクセス許可。
組織レベルでポリシーを変更します。
Defender for Cloud のサービス アカウントを有効にする
Defender for Cloud では、GCP プロジェクトで次のサービス アカウントを有効にする必要があります。
GCP プロジェクトにサインインします。
IAM と Admin>組織ポリシーに移動します。
[ ドメイン制限付き共有] を選択します。
[ ポリシーの管理] を選択します。
許可されているプリンシパルの一覧に、Defender for Cloud 組織 ID
principalSet://iam.googleapis.com/organizations/517615557103
を追加します。保存 を選択します。
変更が反映されるまでに数分かかる場合があります。 変更が適用されたら、 Defender for Cloud によって生成されたデプロイ スクリプトを実行します。
関連コンテンツ
- ワークロード所有者にアクセス権を割り当てます。
- マルチクラウド コネクタのトラブルシューティング
- GCP プロジェクトの接続に関する一般的な質問の回答を確認する。