Alibaba Cloud Security Center で Google Cloud Platform (GCP) のサービスアカウントキーを設定すると、GCP のホスト資産が自動的に同期されます。これにより、マルチクラウド資産のセキュリティを一元管理し、管理の複雑さを軽減できます。
本 Topic で説明する GCP コンソールでの操作は、あくまで参考用です。具体的な手順については、GCP の公式ドキュメントをご参照ください。
ステップ 1:サービスアカウントの作成とキーの取得
GCP コンソールにログインします。コンソールの左上隅で、対象のプロジェクトを選択します。
説明中国 (香港) やシンガポールなど、中国本土以外のネットワークから GCP コンソールにログインしてください。
Compute Engine API を有効にします。
左側のナビゲーションウィンドウで、 を選択します。
画面の指示に従って Compute Engine API を有効化します。
サービスアカウントを作成し、権限を付与します。
左側のナビゲーションウィンドウで、 を選択します。
[サービス アカウント] ページで、[サービス アカウントを作成] をクリックします。
[サービス アカウントを作成] ページで、サービスアカウント名を入力し、[作成して続行] をクリックします。
[権限 (オプション)] セクションで [Compute 閲覧者] ロールを選択し、[完了] をクリックします。
サービスアカウントのキーを作成します。
サービスアカウントのリストで、対象のサービスアカウントの [操作] 列にある
アイコンをクリックし、[キーを管理] をクリックします。
[キー] タブで、 を選択します。
[秘密鍵を作成] ダイアログボックスで、デフォルトの [キーのタイプ]:[JSON] のまま、[作成] をクリックします。
秘密鍵ファイルをダウンロードして保存します。
ステップ 2:VM インスタンスをサービスアカウントに関連付ける
Security Center は、サービスアカウントに関連付けられている Google Cloud Platform (GCP) の仮想マシン (VM) インスタンスのみを同期します。Security Center に追加する VM インスタンスは、プロビジョニングに使用するサービスアカウントに関連付ける必要があります。
新規 VM インスタンスの場合
GCP コンソールの [インスタンスを作成] ページで、左側のナビゲーションウィンドウにある [セキュリティ] をクリックします。[サービスアカウント] で、ステップ 1:サービスアカウントの作成とキーの取得で作成したサービスアカウントを選択します。その後、インスタンスを作成します。
既存の VM インスタンスの場合
VM インスタンスの詳細ページで、[編集] をクリックします。
[ID と API へのアクセス] セクションで、サービスアカウントを ステップ 1:サービスアカウントの作成とキーの取得で作成したものに変更し、[保存] をクリックします。
重要サービスアカウントを変更するには、VM インスタンスを停止する必要があります。
ステップ 3:サービスアカウントキーを送信する
Security Center コンソールにログインします。
重要ネットワークの制限により、Google Cloud 資産は Outside Chinese Mainland のリージョンでのみ追加できます。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、資産が所在するリージョン Chinese Mainland または Outside Chinese Mainland を選択します。
タブで 権限の新規付与 をクリックし、ドロップダウンリストから [GCP] を選択します。
または、 ページに移動することもできます。Add Multi-cloud Asset エリアで、
アイコンにカーソルを合わせ、GCP の下にある Add をクリックして Add Assets Outside Cloud パネルを開きます。Permission Description セクションで ホストアセット を選択し、次へ をクリックします。
Extended Information セクションで Upload File をクリックし、ステップ 1:サービスアカウントの作成とキーの取得で取得した秘密鍵ファイルをアップロードします。
Account Name を入力し、次へ をクリックします。
アカウント名は、同じクラウドプロバイダーの異なるアカウントを区別するために使用されます。わかりやすい名前を指定することを推奨します。
重要キーを削除したり無効にしたりしないでください。GCP 資産のプロビジョニングに影響が及ぶ可能性があります。
ステップ 4:プロビジョニングポリシーの設定
Security Center コンソールの Add Assets Outside Cloud パネルの Policy Configuration ウィザードで、GCP 資産のリージョンとデータ同期の頻度を設定し、[OK] をクリックします。
設定項目
説明
リージョン選択
追加したい資産が所在するリージョンを選択します。Security Center は、指定されたリージョンの資産を Outside Chinese Mainland のリージョン向けの管理センターに追加します。
リージョン管理
このオプションを選択すると、Security Center は現在の GCP アカウントの新しいリージョンからの資産データを、デフォルトで Outside Chinese Mainland のリージョン向けの Data Management センターに追加します。
このオプションを選択しない場合、新しいリージョンは Security Center に追加されません。
Host Asset Synchronization Frequency
Security Center が GCP ホスト資産を自動的に同期する間隔を選択します。同期を無効にするには [シャットダウン] を選択します。
AK サービスのステータスチェック
Security Center が GCP サービスアカウントキーの有効性を自動的にチェックする間隔を選択します。チェックを無効にするには [シャットダウン] を選択します。
最新のアセットの同期 をクリックして、GCP サービスアカウントからすべてのホスト資産を Security Center に同期します。
ステップ 5:結果を確認する
Security Center コンソールで、 ページに移動します。[マルチクラウド資産の追加] セクションの アイコンをクリックします。GCP 資産リストが表示された場合、接続は成功です。詳細については、「サーバー資産」をご参照ください。
次のステップ
GCP 資産に Security Center のエディションをアタッチします。セキュリティ保護と強化機能を利用するために、Security Center の有料エディションをアタッチすることを推奨します。Free Edition は基本的な検出に限定されており、緩和機能は提供されません。エディション間の違いの詳細については、「Security Center の購入」をご参照ください。