VMware Aria Hub 組織の所有者または管理者は、Google Cloud Platform アカウント ワークフローを実行することにより、Google Cloud Platform からサービス アカウント キーをダウンロードして VMware Aria Hub にアップロードし、イベント監視を開始できます。

前提条件

  • Google Cloud Platform コンソールでロールと IAM メンバー バインドを追加できるように、組織レベルの以下の権限を持つユーザーとして GCP コンソールにログインできることを確認します。
    • 所有者
    • ロール管理者
    • 組織管理者

    Google から提供されるロールの詳細については、所有者ロール管理者、および組織管理者を参照してください。

  • このアカウントを作成する GCP プロジェクトへのアクセス権があることを確認します。
  • このアカウント接続を構成するときに使用できるように、GCP プロジェクト ID を特定して保存します。
  • アカウントを VMware Aria Hub プロジェクトに関連付ける場合は、プロジェクトが作成済みであることを確認します。手順については、プロジェクトの追加を参照してください。

手順

  1. VMware Aria Hub で、[構成] > [アカウント] の順に選択します。
  2. [新しいアカウント] をクリックし、[Google Cloud Platform] をクリックします。

    [アカウント情報] セクションには、名前と GCP プロジェクト ID が必要です。
    1. [アカウント情報] セクションで、使用するアカウント名と GCP プロジェクト ID を入力します。
    2. プロジェクトを操作する場合は、GCP プロジェクトに関連付ける VMware Aria プロジェクトを選択します。
    3. [環境] を使用して、VMware Aria Hub の一部の機能で使用されるサブスクリプションに説明的なメタデータを追加できます。
      たとえば、prod、dev、test などの環境を追加して選択した場合、特定の環境にガバナンス ポリシーを適用できます。その後、環境に基づいて検索し、本番環境のリソースにポリシーを適用することもできますが、開発時やテスト時には適用できません。
    4. 所有者名とメール アドレスを入力します。
    5. [次へ] をクリックします。
  3. GCP サービス アカウント キーを使用してアカウントを接続します。
    参考までに、ユーザー インターフェイスで提示される手順を以下の手順でも説明します。
    [サービス アカウント接続] セクションでは、必要なユーザー ロールに関するガイダンスが提供され、サービス キーを作成してダウンロードする手順が説明されます。
    1. この記事の最初に記載されている権限を持っていることを確認します。
    2. Google Cloud コマンド ライン インターフェイスを使用して、Google Cloud Shell などのシェルを開きます。
    3. 指定されたスクリプトを実行します。
      このスクリプトは、選択したディレクトリにサービス アカウント キーを作成します。キー ファイル名は vmw-secure-state-sa-key.json です。
    4. サービス アカウント キーをダウンロードするために、指定されたスクリプトを実行します。
    5. ダウンロードした GCP サービス アカウント キーを VMware Aria Hub にアップロードするために、[参照] をクリックします。
    6. [次へ] をクリックします。
  4. [アカウントのオンボーディング] セクションで、イベント監視を有効にします。

    このクラウド アカウントのセキュリティ調査結果について最新情報を提供するイベント ストリームを設定するには、接続スクリプトを実行できるように GCP を設定する必要があります。この手順の最初に記載されている前提条件を確認します。

    接続スクリプトは、次のロールと権限を使用して、Google Cloud Logging と Pub/Sub ベースのイベント ストリームを設定します。

    • このプロジェクト用に Google が管理するサービス アカウントである {project-number}@cloudservices.gservicesaccount.com には、次のロールと権限が付与されます。
      GCP ロール 権限
      ログの構成
      • クラウド ログ シンクの作成
      • Pub/Sub トピックへの公開
      セキュリティ管理者
      • クラウド ログ シンクの作成
      • Pub/Sub トピックへの公開
    • Pub/Sub サービス アカウント {project-number}@gcp-sa-pubsub-iam- gserviceaccount.com には、Service Account Token Creator ロールが付与されます。

    ロールについて Google から提供されている情報については、Google-managed service accountsLogs configuration writer roleSecurity admin roleConfigure Pub/Sub with the token creator roleを参照してください。


    [アカウントのオンボーディング] セクションには、イベント ストリームを接続するロールと権限を作成するためのセットアップ スクリプトが用意されています。
    1. この記事の最初に記載されているイベント監視権限を持っていることを確認します。
    2. Google Cloud コマンド ライン インターフェイスを使用して、Google Cloud Shell などのシェルを開きます。
    3. 指定されたコマンドを実行してセットアップ スクリプトを実行します。
  5. [アカウント] 画面で、データ ソース アカウントがあること、[ステータス] が [OK] であること、[イベント監視] 状態が [接続済み] であることを確認します。

次のタスク

収集したデータが表示されるまでに、最長で 30 分かかる場合があります。プロセスを監視するには、[調査] > [インベントリ] の順に選択します。

  • 収集したデータが表示されるまでに、最長で 30 分かかる場合があります。プロセスを監視するには、[調査] > [インベントリ] の順に選択します。
  • GCP アカウントに変更を加える必要がある場合は、[構成] > [アカウント] を選択し、ターゲット アカウントの詳細を展開して、個々のアカウントのプロパティを編集します。