Google Cloud (Web コンソールによる作成方法)
Google Cloud のコンソール上から連携に必要な情報を作成いただけます。
こちらの手順を進めていただくことで、安全な方法で Securify ASM によるリソースへのアクセスが可能になり、外部へ公開されているリソースを Securify 上で一覧として確認できるようになります。
作成いただく必要のあるリソース
- Service Account
- Workload Identity Pool
- Workload Identity Provider
前提
- 実施するユーザーが、連携対象となる組織、フォルダ、プロジェクトの IAM の編集権限を持っていること
- 実施するユーザーが、サービスアカウントの作成権限を持っていること
- 付与例: サービス アカウント管理者
- 実施するユーザーが、Workload Identity Pool 及び、Provider の作成・編集権限を持っていること
- 付与例: IAM Workload Identity プール管理者
- IAM Workload Identity の API が有効になっていること
- 以下の「使ってみる」から有効化できます
リソース作成手順
こちらの手順を行うことで以下の情報を取得できれば完了となります。
- サービスアカウントのメールアドレス
- Workload Identity Pool ID
- Workload Identity Provider ID
コンソールにログイン
Google Cloud にログインしてください。
以下のようなコンソールが開かれていればログインできています。
任意のプロジェクトを選択(すでに該当のプロジェクトが選択されていればスキップ可)
画像の矢印の箇所から、該当のプロジェクトを選択しプロジェクトを切り替えてください。
選択中のプロジェクトに該当のプロジェクトが表示されていれば切り替えは不要です。
IAMと管理ページへ遷移
上部検索バーに、「IAM」と入力し、IAMページを選択してください。
Workload Identity 作成
左のサイドバーから「Workload Identity 連携」を選択してください。
その後、プールを作成をクリックし、プール作成画面へ遷移してください。
Workload Identity Pool / Provider の作成
- Pool ID
- Provider ID
- サービスアカウントのメールアドレス
上記情報は、Securify ASMに登録の際に必要になるため控えておいてください。
ステップ1
以下の必須項目の名前だけ記入してください。
- 名前 (入力例: securify-asm)
入力後、続行ボタンをクリックしてステップ2へ進んでください。
ステップ2
プロバイダの追加
プールにプロバイダを追加してください。
「プロバイダの選択」をクリックし、「OpenID Connect」を選択してください。
プロバイダ情報の入力
以下の情報を入力してください。
任意の値
- プロバイダ名 (入力例: securify-asm)
注: プロバイダ名を入力すると自動で Provider ID も入力されますが、入力せずに続行をすると Provider ID も入力する必要が出るので注意してください。
固定のアクセス権として、以下を指定してください。
- 発行元(URL):
https://oidc.securify.jp
- デフォルトのオーディエンスを選択
入力後、続行ボタンをクリックしてステップ3へ進んでください。
ステップ3
以下の情報を入力してください。
- google.subject:
assertion.sub
入力後、保存ボタンをクリックして保存してください。
Workload Identity 連携のテーブルに作成したプールがあれば完了です。
サービスアカウントの作成
左のサイドバーから「サービスアカウント」を選択してください。
サービスアカウントを作成をクリックしてください。
ステップ1
以下の情報に任意の値を入力してください。
- サービスアカウント名 (入力例: securify-asm)
- サービスアカウントID (入力例: securify-asm-xxx のように自動入力される場合がありますが、ランダムな値の部分は削除し、必要に応じて任意の一意な値を入力してください)
- 例:
securify-asm
- 例:
入力後、完了ボタンをクリックして作成してください。
「サービスアカウントが作成されました」というメッセージが表示されたら完了です。
サービスアカウントへのアクセス権付与
Securify ASM により借用されるサービスアカウントにリソースへのアクセス許可の権限を付与する必要があります。
組織全体を対象にする場合
左上にある、プロジェクト選択の項目を選択し、リソースを選択するモーダルの中から、すべてのタブを選択し、組織を選んでください。
以下のようにアクセス権が付与できる画面が表示されるので、該当のサービスアカウントのIAMを作成してください。
先ほど作成したサービスアカウントのメールアドレスを新しいプリンシパルに追加し、権限をつけて保存してください。
フォルダを対象にする場合
左上にある、プロジェクト選択の項目を選択し、リソースを選択するモーダルの中から、すべてのタブを選択し、該当フォルダを選んでください。
以下のようにアクセス権が付与できる画面が表示されるので、該当のサービスアカウントのIAMを作成してください。
先ほど作成したサービスアカウントのメールアドレスを新しいプリンシパルに追加し、権限をつけて保存してください。
プロジェクトを対象にする場合
左上にある、プロジェクト選択の項目を選択し、リソースを選択するモーダルの中から、すべてのタブを選択し、該当のプロジェクトを選んでください。
以下のようにアクセス権が付与できる画面が表示されるので、Project IAM 管理者権限があればアクセス権を付与できます。
以下の権限を、先ほど作成したサービスアカウントにアクセスできるIAMに付与してください。
- セキュリティ審査担当者
- 参照者
サービスアカウントとプロバイダーの紐付け
サイドバーより、Workload Identity 連携を選択し、先ほど作成した Workload Identity プールを選択してください。
上部にあるアクセスを許可するボタンをクリックしてください。
以下のように入力欄が表示されます。
以下項目を入力してください。
- サービスアカウント
- 先ほど作成したサービスアカウントを指定してください
- プリンシパル
- subject を選択
-
job:<あなたの組織ID>:*
組織IDが不明な方はこちらを参照してください。
接続済みサービスアカウントに以下のように表示されていれば完了です。
アプリケーションの構成についてのモーダルが開かれるかもしれませんが閉じても問題ありません。
Securify ASM への登録
リリース作成手順で取得した情報を Securify ASM に登録します。
Google Cloud の連携情報登録
サイドバーにある連携設定へアクセスしてください。
連携タイプからGoogle Cloudをクリックしてください。
右上の連携設定を追加ボタンをクリックしてください。
以下項目を入力し、新規作成ボタンをクリックしてください。
- サービスアカウント: 先ほど作成したサービスアカウントのメールアドレス
- プロジェクト番号: サービスアカウントを作成したプロジェクトの番号
- 以下の黒塗りの部分
- アイデンティティプールID: 先ほど作成したWorkload Identity PoolのID
- アイデンティティプロバイダID: 先ほど作成したWorkload Identity ProviderのID
登録した内容でテーブルに追加され、プロジェクトが表示されたら成功です。
チームを割り当てることで検出されたエンドポイントをチームのメンバーが閲覧することが可能となります。
注意点
設定完了後のキャッシュについて
設定完了後、反映されるまでに数分かかる場合があります。
登録に失敗する場合は、時間をあけて再度お試しください。