このページでは、組織、フォルダ、プロジェクトを Audit Manager の監査対象リソースとして登録する方法について説明します。
登録することにより、次のタスクが実行されます。
監査マネージャーに関連付けられた Google 管理のサービス エージェントが作成され、ユーザーに代わって指定されたリソースがモニタリングされます。サービス エージェントのメールアドレスの形式は次のとおりです。RESOURCE_ID は組織 ID、フォルダ ID、またはプロジェクト ID です。
RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.comこのサービス エージェントのロールを取り消すと、監査マネージャーでリソースの監査が停止することがあります。
指定された Cloud Storage バケットは、監査データを保存する宛先として構成されます。
リソースを登録すると、その子リソースも登録されます。たとえば、組織を登録すると、その組織内のすべてのプロジェクトも登録されます。親リソースがすでに登録されている場合に、子リソースの 1 つを登録しようとすると、子リソースは独立して登録されます。
始める前に
次の IAM ロールと権限があることを確認します。
- 監査マネージャー管理者(
roles/auditmanager.admin)。 - ストレージ管理者(
roles/storage.admin)またはストレージのレガシー バケット オーナー(roles/storage.legacyBucketOwner)
- 監査マネージャー管理者(
組織またはフォルダを登録するには、次の追加の権限が必要です。
- 組織:
resourcemanager.organizations.setIamPolicy - フォルダ:
resourcemanager.folders.setIamPolicy
- 組織:
監査データのエクスポート先となる Cloud Storage バケットを特定または作成します。
Cloud Storage バケットの作成方法については、バケットを作成するをご覧ください。
監査用にリソースを登録する
Audit Manager で監査する組織、フォルダ、プロジェクトを登録できます。
リソースを登録する最も簡単な方法は、 Google Cloud コンソールを使用することです。別の方法として、Audit Manager API または Google Cloud CLI を使用することもできます。
コンソール
Google Cloud コンソールで、[監査マネージャー] ページに移動します。
[設定] をクリックします。
プロジェクト セレクタで選択したリソースに応じて、[設定] ページにフォルダまたはプロジェクトのリストが表示されます。
[設定] ページで、監査マネージャーに登録するリソースを選択し、[ステータス] 列の [登録] をクリックします。
[Select storage bucket details] ダイアログで、レポートと証拠を保存する Cloud Storage バケットを 1 つ以上選択し、[登録] をクリックします。
リソースが監査用に登録されました。
gcloud
後述のコマンドデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: リソースのタイプ。有効な値はorganization、folder、projectです。 -
RESOURCE_ID: 組織、フォルダ、またはプロジェクトのリソース ID。例:8767234 -
BUCKET_URI: Cloud Storage バケットの URI。例:gs://testbucketauditmanager
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud audit-manager enrollments add \ --RESOURCE_TYPE=RESOURCE_ID \ --eligible-gcs-buckets=BUCKET_URI
Windows(PowerShell)
gcloud audit-manager enrollments add ` --RESOURCE_TYPE=RESOURCE_ID ` --eligible-gcs-buckets=BUCKET_URI
Windows(cmd.exe)
gcloud audit-manager enrollments add ^ --RESOURCE_TYPE=RESOURCE_ID ^ --eligible-gcs-buckets=BUCKET_URI
REST
リクエストのデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: リソースのタイプ。有効な値はorganizations、folders、projectsです。 -
RESOURCE_ID: 組織、フォルダ、またはプロジェクトのリソース ID。例:8767234 -
BUCKET_URI: Cloud Storage バケットの URI。例:gs://testbucketauditmanager
HTTP メソッドと URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource
リクエストの本文(JSON):
{
"destinations": [
{
"eligibleGcsBucket": "BUCKET_URI"
}
]
}
リクエストを送信するには、次のいずれかのオプションを選択します。
curl
リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"
PowerShell
リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content
成功したことを示すステータス コード(2xx)と空のレスポンスが返されます。
登録後に監査データの保存場所を変更する場合は、リソースの登録を更新して、新しい保存場所を指定する必要があります。以前の登録と保存場所は、新しいリクエストによって上書きされます。