SOAR 権限を Google Cloud IAM に移行する
このドキュメントは、既存の SOAR 権限グループからアクセス制御用の Google Cloud Identity and Access Management(IAM)に環境を移行する必要がある Google Security Operations 統合のお客様と SOAR スタンドアロン ユーザーの両方を対象としています。この手順のチュートリアル動画については、SOAR IAM 移行動画をご覧ください。
Google Cloud コンソールの検証プロセスでは、次の主要な手順を実行して、SOAR 権限からGoogle Cloud IAM への移行を自動化します。
- カスタム権限グループやユーザー割り当てなど、既存の権限構成を読み取ります。
- 既存の権限グループを複製するカスタム IAM ロールを生成します。
- 既存のユーザーとグループを新しく作成した IAM ロールにマッピングして、すべてのアクセス権限が保持されるようにします。
- ユーザーとグループを割り当てられたロールにバインドする IAM ポリシーを作成します。
始める前に
移行を開始する前に、次の要件を満たしていることを確認します。
IdP グループ マッピング: すべてのユーザーが Google SecOps プラットフォームの ID プロバイダ(IdP)グループにマッピングされていることを確認します。IdP グループのマッピングについては、プラットフォームでユーザーをマッピングするをご覧ください。
権限: 必要な権限があることを確認します。
SOAR 権限を移行する方法は 2 つあります。
- Google Cloud CLI の使用
- Terraform を使用する
Google Cloud CLI を使用して SOAR 権限を移行する
SOAR 権限を Google Cloud IAM に移行する手順は次のとおりです。
- Google Cloud コンソールで、Google SecOps の管理設定に移動します。
- [SOAR IAM Migration] タブをクリックします。
- [ロール バインディングを移行する] セクションで、Google Cloud CLI コマンドをコピーします。
- Google Cloud ツールバーで、[Cloud Shell をアクティブにする] をクリックします。
- ターミナル ウィンドウで、Google Cloud CLI コマンドを貼り付けて Enter キーを押します。
- スクリプトが正常に実行されていることを確認します。
- Google Cloud コンソールに戻り、[このタスクを完了しました] セクションで、[IAM を有効にする] をクリックします。
Terraform を使用して SOAR 権限を移行する
Terraform を使用して SOAR 権限を Google Cloud IAM に移行する手順は次のとおりです。
- Google Cloud コンソールで、Google SecOps の管理設定に移動します。
- [SOAR IAM Migration] タブをクリックします。
- [ロール バインディングを移行する] セクションで、Google Cloud CLI コマンドをコピーします。
- Terraform リポジトリに移動し、Google Cloud CLI コマンドを対応する Terraform の同等のコマンドにマッピングします。次の表に、Google Cloud CLI のカスタムロール作成コマンドと Terraform コマンドのマッピングを示します。
| gcloud フラグ | Terraform 引数 | メモ |
|---|---|---|
ROLE_ID(位置) |
role_id |
Terraform では、projects/PROJECT_ID/roles/ 接頭辞は含めないでください。ID 文字列のみを使用します(例: myCustomRole)。 |
--project |
project |
カスタムロールが定義されているプロジェクトの ID。 |
--title |
title |
人が読める形式のロールのタイトル。 |
--description |
description |
ロールの目的と権限の概要。 |
--permissions |
permissions |
gcloud は、カンマ区切りの文字列を受け付けます。Terraform には、文字列のリスト ["perm.a", "perm.b"] が必要です。 |
--stage |
stage |
有効な値: ALPHA、BETA、GA、DEPRECATED、DISABLED、EAP。 |
Terraform への Google Cloud CLI のマッピングの例
Google Cloud CLI コマンド:
gcloud iam roles create SOAR_Custom_managedUser_google.com --project="{customer project}"
--title="SOAR Custom managedUser Role"
--description="SOAR Custom role generated for IDP Mapping Group ManagedUser"
--stage=GA
--permissions=chronicle.cases.get
Terraform コマンド:
resource "google_project_iam_custom_role" "{terraform_name}" {
role_id = "SOAR_Custom_managedUser_google.com"
title = "SOAR Custom managedUser Role"
project = "{customer project}"
stage = "GA"
permissions = [
#This is an example!
"chronicle.cases.get"
]
}
IAM ポリシー バインディング(ロールの割り当て)
Google Cloud CLI projects add-iam-policy-binding を使用すると、特定のメンバー(ユーザー、サービス アカウント、グループ)に特定のロールが付与されます。次の表に、Google Cloud CLI コマンドと Terraform コマンドのマッピングを示します。IAM ロールを割り当てるコマンドをマッピングします。
| gcloud フラグ | Terraform 引数 | メモ |
|---|---|---|
PROJECT_ID(位置) |
project |
ターゲット プロジェクトの ID。 |
--member |
member |
プリンシパル ID(user:email、serviceAccount:email、group:email など)。 |
--role |
role |
ロール ID。カスタムロールには完全なパス(projects/ID/roles/NAME)を使用し、標準ロールには短い名前(roles/NAME)を使用します。 |
ロールの割り当ての例
Google Cloud CLI コマンド:
gcloud projects add-iam-policy-binding
{customer project}
--member="user:alice@example.com"
--role="projects/{customer project}/roles/SOAR_Custom_managedUser_google.com"
Terraform コマンド:
resource "google_project_iam_member" "{terraform_name}" {
project = "{customer project}"
role = "projects/{customer project}/roles/SOAR_Custom_managedUser_google.com"
member = "user:alice@example.com"
}