Google Cloud ホストアセットの追加 - Security Center - Alibaba Cloud ドキュメントセンター

Security Center で Google Cloud Platform (GCP) のサービスアカウントキーを設定し、GCP ホストアセットを自動的に同期して、一元的なマルチクラウドセキュリティ管理を実現します。

本文書に記載されている GCP コンソールの手順は、参考用です。正式な手順については、GCP の公式ドキュメントをご参照ください。

仕組み

Security Center は GCP サービスアカウントキーを使用して GCP API で認証し、ホストアセットのインベントリを Security Center コンソールにプルします。サービスアカウントには、GCP プロジェクトへの読み取り専用アクセス (Compute Viewer ロール) が付与されます。その後、Security Center はそのサービスアカウントに関連付けられた仮想マシン (VM) インスタンスを定期的に同期し、Alibaba Cloud 資産と並べて表示できるようにします。

サービスアカウントに明示的に関連付けられた VM インスタンスのみが同期され、同じ GCP プロジェクト内の他のインスタンスは含まれません。

前提条件

開始する前に、以下を確認してください：

少なくとも 1 つの Compute Engine VM インスタンスを持つ GCP プロジェクト
中国本土以外 (例：中国 (香港) またはシンガポール) から GCP コンソールへのネットワークアクセス
Security Center コンソールのリージョンが 中国本土以外 に設定されていること — GCP 資産はネットワーク制限のため、このリージョンでのみ追加できます
GCP プロジェクトの IAM 設定で割り当て可能な Compute Viewer ロール

ステップ 1：サービスアカウントの作成とキーの取得

GCP コンソールにログインします。左上隅で、対象のプロジェクトを選択します。
Compute Engine API を有効にします。
1. ナビゲーションウィンドウで、API とサービス > 有効な API とサービス を選択します。
2. 画面の指示に従って、Compute Engine API を有効にします。
サービスアカウントを作成し、ロールを割り当てます。
1. ナビゲーションウィンドウで、IAM と管理 > サービスアカウント を選択します。
2. サービスアカウント ページで、サービスアカウントを作成 をクリックします。
3. サービスアカウント名を入力し、作成して続行 をクリックします。
4. 権限 (任意) セクションで、Compute Viewer ロールを選択し、完了をクリックします。
サービスアカウントのキーを作成します。
1. サービスアカウント一覧で、サービスアカウントの[操作]列のアイコンをクリックし、[キーの管理]をクリックします。
2. キータブで、キーを追加 > 新しいキーを作成 を選択します。
3. 秘密鍵を作成 ダイアログで、キーのタイプ をデフォルトの JSON のままにして、作成をクリックします。
4. 秘密鍵ファイルをダウンロードして保存します。このファイルはステップ 3 で Security Center にアップロードします。

ステップ 2：VM インスタンスとサービスアカウントの関連付け

Security Center は、ステップ 1 で作成したサービスアカウントに関連付けられた GCP VM インスタンスのみを同期します。Security Center で管理したいすべてのインスタンスを関連付けます。

新しい VM インスタンスの場合

インスタンスを作成 ページで、ナビゲーションウィンドウの セキュリティ をクリックします。サービスアカウント で、ステップ 1 で作成したサービスアカウントを選択し、インスタンスを作成します。

既存の VM インスタンスの場合

VM インスタンスの詳細ページで、編集をクリックします。
ID と API へのアクセス セクションで、サービスアカウントをステップ 1 で作成したものに変更し、保存をクリックします。
重要
注：サービスアカウントを変更する前に、VM インスタンスを停止してください。

ステップ 3：サービスアカウントキーの送信

Security Center コンソールにログインします。
ナビゲーションウィンドウで、システム設定 > 機能設定 を選択します。コンソールの左上隅で、リージョンとして 中国本土以外 を選択します。
重要
注：GCP 資産は 中国本土以外 リージョンでのみ追加できます。
いずれかのパスを使用して GCP オンボーディングパネルを開きます：
- マルチクラウド設定管理 > マルチクラウド資産 タブで、権限を付与 をクリックし、ドロップダウンリストから GCP を選択します。
- [アセット] > [ホスト] ページで、[マルチクラウド資産の追加] エリアのアイコンにマウスカーソルを合わせ、[GCP] の下にある[追加] をクリックします。
権限の説明 セクションで、ホスト を選択し、次へをクリックします。
拡張情報 セクションで、ファイルをアップロード をクリックし、ステップ 1 でダウンロードした秘密鍵ファイルをアップロードします。
アカウント名 を入力し、次へをクリックします。
わかりやすい名前を使用してください。これにより、この GCP アカウントを同じクラウドプロバイダーの他のアカウントと区別できます。
重要
注：キーを送信した後に削除したり無効にしたりしないでください。そうしないと、GCP 資産のプロビジョニングに影響が及ぶ可能性があります。

ステップ 4：プロビジョニングポリシーの設定

クラウド外資産の追加 パネルの ポリシー設定 ウィザードで、次のオプションを設定し、OK をクリックします。

設定項目	説明
リージョンを選択	資産が配置されている GCP リージョン。Security Center は、選択されたリージョンの資産を中国本土以外の管理センターに追加します。
リージョン管理	選択した場合、GCP アカウントに追加された新しいリージョンは自動的に Security Center に含まれます。選択しない場合、新しいリージョンは無視されます。
ホストアセットの同期頻度	Security Center が GCP ホストアセットを同期する頻度。同期を無効にするには、シャットダウンを選択します。
AK サービスステータスチェック	Security Center がサービスアカウントキーの有効性をチェックする頻度です。[Shutdown] を選択して、チェックを無効化します。

OK をクリックした後、資産を同期 をクリックして、GCP サービスアカウントから Security Center にすべてのホストアセットを同期します。

ステップ 5：接続の確認

Security Center コンソールで、[資産] > [ホスト] に移動します。[マルチクラウド資産の追加] セクションのアイコンをクリックします。GCP 資産リストが表示された場合、接続は成功しています。詳細については、「サーバー資産」をご参照ください。

GCP 資産リストが表示されない場合は、以下を確認してください：

資産がリストにない場合：VM インスタンスがサービスアカウントに関連付けられていることを確認します (ステップ 2 を参照)。サービスアカウントに関連付けられていないインスタンスは同期されません。
キーのエラー：サービスアカウントキーが GCP で削除または無効にされていないことを確認します。
リージョンの不一致：Security Center コンソールが 中国本土以外 に設定されており、ステップ 4 で選択したリージョンが GCP 資産の所在地と一致していることを確認します。

次のステップ

GCP 資産に Security Center クライアントをインストールします。
GCP 資産に Security Center エディションをアタッチします。有料版はセキュリティ保護と強化機能を提供します。無料版は基本的な検出に限定され、緩和機能は提供されません。エディションの詳細については、「Security Center の購入」をご参照ください。