このドキュメントでは、Security Command Center のエンタープライズ ティアで、ポスチャーの検出結果ハンドブック用の一般公開バケットの修復を有効にする手順ガイドを示します。
概要
Security Command Center は、次のハンドブックの脆弱性に対する追加の修復をサポートしています。
- ポスチャーの検出結果 - 一般
- Jira によるポスチャーの検出結果
- ServiceNow によるポスチャーの検出結果
これらのポスチャーの検出結果ハンドブックには、OPEN PORT、PUBLIC IP ADDRESS、PUBLIC BUCKET ACL の検出結果を修復するブロックが含まれています。これらの検出結果の種類の詳細については、脆弱性の検出結果をご覧ください。
ハンドブックは、OPEN PORT と PUBLIC IP ADDRESS の検出結果を処理するように事前構成されています。PUBLIC_BUCKET_ACL の検出結果を修復するには、ハンドブックの一般公開バケットの修復を有効にする必要があります。
ハンドブックの一般公開バケットの修復を有効にする
Security Health Analytics(SHA)検出機能が、一般公開されている Cloud Storage バケットを特定し、PUBLIC_BUCKET_ACL 検出結果を生成すると、Security Command Center Enterprise は検出結果を取り込み、プレイブックを関連付けます。ポスチャーの検出結果ハンドブックで一般公開バケットの修復を有効にするには、カスタム IAM ロールを作成し、そのロールに特定の権限を構成して、作成したカスタムロールを既存のプリンシパルに付与する必要があります。
始める前に
一般公開バケットへのアクセスを修復するには、構成されて実行中の Cloud Storage 統合のインスタンスが必要です。統合構成を検証するには、Enterprise ユースケースを更新するをご覧ください。
カスタム IAM ロールを作成する
カスタム IAM ロールを作成して特定の権限を構成するには、次の操作を行います。
Google Cloud コンソールで、IAM [ロール] ページに移動します。
[ロールを作成] をクリックして、統合に必要な権限を持つカスタムロールを作成します。
新しいカスタムロールの場合は、タイトル、説明、一意の ID を指定します。
[ロールのリリース ステージ] を [一般提供] に設定します。
作成したロールに次の権限を追加します。
resourcemanager.organizations.setIamPolicy[作成] をクリックします。
既存のプリンシパルにカスタムロールを付与する
選択したプリンシパルに新しいカスタムロールを付与すると、そのプリンシパルは組織内の任意のユーザーの権限を変更できるようになります。
既存のプリンシパルにカスタムロールを付与する手順は次のとおりです。
Google Cloud コンソールで、[IAM] ページに移動します。
[フィルタ] フィールドに、Cloud Storage 統合に使用する Workload Identity Email の値を貼り付け、既存のプリンシパルを検索します。
[プリンシパルを編集します] をクリックします。[「PROJECT」へのアクセス権を付与します] ダイアログが開きます。
[ロールを割り当てる] で、 [別のロールを追加] をクリックします。
作成したカスタムロールを選択し、[保存] をクリックします。