Workload Identity Federation 認証を使用した GCP コネクタの作成 (検出のみ)
Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP 製品を参照してください。
必要なユーザーロール: 管理者
GCP コネクタを作成して GCP 資産を検出し、Tenable Vulnerability Management にインポートします。コネクタを介して検出された資産は、Tenable Vulnerability Management で脆弱性をスキャンしない限り、ライセンスにカウントされません。
始める前に
-
サービスアカウントに次のロールがあることを確認してください。
-
Compute Viewer
-
Logs Viewer
-
Service Account Token Creator
-
Workload Identity User
これらのロールの追加に関する詳細については、GCP の設定を参照してください。
-
-
Workload Identity プールまたは Workload Identity プールプロバイダーを作成し、認証情報の設定ファイルをダウンロードします。GCP Workload Identity プールを作成し、設定ファイルをダウンロードするを参照してください。
Workload Identity Federation 認証を使用して GCP コネクタを作成する方法
-
左側のナビゲーションで
[設定] をクリックします。[設定] ページが表示されます。
-
[クラウドコネクタ] タイルをクリックします。
[クラウドコネクタ] ページが表示され、設定済みのコネクタの表が表示されます。
-
ページの右上にある [クラウドコネクタの作成] ボタンをクリックします。
クラウドコネクタ選択プレーンが表示されます。
- [クラウドコネクタ] セクションで、[GCP Workload Identity Federation] をクリックします。
[コネクタのセットアップ] のウィンドウが表示されます。
- [コネクタ名] ボックスにコネクタを識別する名前を入力し、[次へ] をクリックします。
- [選択を適用] セクションで、以下を実行します。
- [ファイルの追加] をクリックし、ローカルシステムを参照して認証情報の設定ファイルを追加します。注意: GCP 認証情報の設定ファイルをダウンロードするには、GCP Workload Identity プールを作成し、設定ファイルをダウンロードする の手順に従ってください。
- [自動アカウント検出] のオプションが選択されていることを確認してください。
- [ネットワーク] のドロップダウンボックスで、コネクタを追加する既存のネットワークを選択します。コネクタが資産を検出すると、関連するネットワークが資産の詳細に表示されます。[新規作成] をクリックして、新しいネットワークを追加します。
- (オプション) [インポートのスケジュール] トグルを使用して、スケジュールしたインポートを有効または無効にします。デフォルトでは、Tenable Vulnerability Management は 1 日ごとに新規および更新された資産レコードをリクエストします。
有効にした場合
- テキストボックスに、Tenable Vulnerability Management が GCP サーバーにデータリクエストを送信する頻度を入力します。
- ドロップダウンボックスで、[分]、[時]、[日] のいずれかを選択します。注意: コネクタ設定を 30 分ごとに同期するようにスケジュールすると、検出ジョブが 30 分ごとにキューに配置されます。コネクタサービスのワークロードに応じて、検出ジョブの結果が Tenable Vulnerability Management インターフェースとログで参照できるようになります。したがって、キューによっては、検出ジョブの結果が出るのに 30 分以上かかる場合があります。
- [ファイルの追加] をクリックし、ローカルシステムを参照して認証情報の設定ファイルを追加します。
- 次のいずれかを行います。
- コネクタを保存するには、[保存] をクリックします。
コネクタを保存して、GCP から資産をインポートするには、[保存してインポート] をクリックします。
Tenable Vulnerability Managementが GCP から資産をインポートします。資産が表示されるまでに時間がかかる場合があります。