Google Cloud Platform (GCP) を設定する

Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP 製品を参照してください。

必要なユーザーロール: 管理者

Tenable Vulnerability Management GCP コネクタを使用する前に、コネクタに対応するよう GCP を設定する必要があります。

注意: コネクタを設定する前に、Google Cloud Platform 内から、スキャンする各プロジェクトに対して Compute Engine API を有効にする必要があります。詳細は、Google API のドキュメントを参照してください。

GCP を Tenable Vulnerability Managementコネクタに対応するよう設定する方法

  1. Google Cloud Platform にログインします。
  2. 左側のナビゲーションバーで [IAM と管理] をクリックします。

    3. [IAM] ページが表示されます。

  3. 左上の [プロジェクトの選択] ドロップダウンボックスで、適用可能な GCP プロジェクトを選択します。
  4. 左側のナビゲーションバーで [サービスアカウント] をクリックします。

    5. GCP プロジェクトの [サービスアカウント] ページが表示されます。


  5. [+ サービスアカウントの作成] をクリックします。

    6. [サービスアカウントの作成] ページが表示されます。

  6. [サービスアカウント名] ボックスにサービスアカウントの名前を入力します。
  7. [サービスアカウント ID] ボックスに固有のサービスアカウント ID を入力します。
  8. [サービスアカウントの説明] ボックスにサービスアカウントの実行内容を説明します。
  9. [作成] をクリックします。

    10. [このサービスアカウントにプロジェクトへのアクセス権を与える] ページが表示されます。

  10. [サービスアカウントのアクセス許可 (オプション)] ページのドロップダウンボックスで、[ログ] > [ログ閲覧者] のロールを追加します。

    11. 注意: サービスアカウントには、検出同期 (最初のフル同期後の差分同期) 用に [ログ] > [ログ閲覧者] のロールがある必要があります。

  11. [サービスアカウントのアクセス許可 (オプション)] ページで、[+ 別のロールを追加する] をクリックします。
  12. [Compute Engine] > [Compute 閲覧者] のロールを追加します。

  13. [続行] をクリックします。

    14. [ユーザーにこのサービスアカウントへのアクセス権を与える] ページが表示されます。

  14. [キーの作成 (オプション)] セクションで、[+ キーの作成] をクリックします。

    15. [キーの作成 (オプション)] ペインが表示されます。

  15. [キータイプ] で、[JSON] を選択して JSON フォーマットでキーを作成します。
  16. [作成] をクリックします。

    ブラウザが JSON フォーマットでキーをダウンロードします。

(オプション) 複数のプロジェクトにアクセス可能な GCP サービスアカウントを設定する方法:

定期的に追加したり削除したりする複数の GCP アカウントを持っているとします。各 GCP アカウントを異なるコネクタとして追加するのではなく、最上位のサービスアカウントを複数のプロジェクトにアクセスするよう設定できます。GCP コネクタはリンクされたプロジェクトをすべて自動で検出し、それらのプロジェクトから資産を抽出します。

注意: 最上位のサービスアカウントでは、複数のプロジェクトにアクセスするため、Cloud Resource Manager API が有効になっています。

警告: GCP コネクタは、最上位のサービスアカウントへのアクセスで設定されたいずれのプロジェクトからも資産を抽出します。GCP コネクタがデータを抽出する対象のプロジェクトを追加するだけで済みます。
  1. Google Cloud Platform にログインします。
  2. 左側のナビゲーションバーで [IAM と管理] をクリックします。

    3. [IAM] ページが表示されます。

  3. 左上のドロップダウンメニューで、2 番目の GCP プロジェクトを選択します。
  4. IAM メニューバーで、[+ 追加] をクリックします。

    [メンバーをプロジェクトに追加] ペインが表示されます。

  5. [新しいメンバー] ボックスで、最初のセクションの手順 6 で作成した最上位サービスアカウントの名前を入力します。
  6. [ロールの選択] ドロップダウンボックスで、[ログ] > [ログ閲覧者] のロールを選択します。
  7. [+ 別のロールを追加する] ボタンをクリックします。
  8. [ロールの選択] ドロップダウンボックスで、[Compute Engine] > [Compute 閲覧者] のロールを選択します。
  9. [+ 別のロールを追加する] ボタンをクリックします。
  10. [ロールの選択] ドロップダウンボックスで、[サービスアカウントトークン作成者] ロールを選択します。
  11. [+ 別のロールを追加する] ボタンをクリックします。
  12. [ロールの選択] ドロップダウンボックスで、[ワークロードアイデンティティユーザー] ロールを選択します。
  13. (オプション) 追加のロールを追加するには、[+ 別のロールを追加する] ボタンをクリックします。

次の手順