Google Cloud IAM
統合バージョン: 12.0
ユースケース
Google Cloudで権限とサービス アカウントを管理します。
プロダクトの権限
サービス アカウントを作成します。
- Google Cloud プロジェクト ポータルを開き、左側のペインで [IAM と管理]> [ロール] をクリックします。
- [ロールを作成] をクリックして、統合に必要な権限を持つカスタムロールを作成します。
- 開いたページで、ロールのタイトル、説明、ID、一般提供までのロールのリリース ステージを指定します。
作成したロールに次の権限を付与します。
- iam.serviceAccounts.list
- iam.serviceAccounts.create
- iam.serviceAccounts.get
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.setIamPolicy
- iam.serviceAccounts.disable
- iam.serviceAccounts.enable
- iam.serviceAccounts.delete
- iam.roles.list
- iam.roles.get
- iam.roles.create
- iam.roles.delete
[作成] をクリックして、新しいカスタムロールを作成します。
次に、Google ドキュメントに移動し、サービス アカウントの作成セクションの手順に沿って操作します。サービス アカウントを作成すると、サービス アカウントの秘密鍵ファイルがダウンロードされます。
以前に作成したロールをサービス アカウントに付与して、サービス アカウントに統合に必要な権限を付与します。
手順 1 でダウンロードしたファイルの JSON コンテンツを使用して、Google Cloud IAM 統合を構成します。
Google Security Operations で Google Cloud IAM との統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アカウントの種類 | 文字列 | service_account | いいえ | Google Cloud アカウントのタイプ。認証 JSON ファイルの「type」パラメータにあります。この値をコピーして、この統合構成パラメータに貼り付ける必要があります。 |
| プロジェクト ID | 文字列 | なし | いいえ | Google Cloud アカウントのプロジェクト ID。認証 JSON ファイルの「project_id」パラメータにあります。この値をコピーして、この統合構成パラメータに貼り付ける必要があります。 |
| 秘密鍵 ID | パスワード | なし | いいえ | Google Cloud アカウントの秘密鍵 ID。認証 JSON ファイルの「private_key_id」パラメータにあります。この値をコピーして、この統合構成パラメータに貼り付ける必要があります。 |
| 秘密鍵 | パスワード | なし | いいえ | Google Cloud アカウントの秘密鍵。認証 JSON ファイルの「private_key」パラメータにあります。この値をコピーして、この統合構成パラメータに貼り付ける必要があります。 |
| クライアントのメール。 | 文字列 | なし | いいえ | Google Cloud アカウントのクライアント メールアドレス。認証 JSON ファイルの「client_email」パラメータにあります。この値をコピーして、この統合構成パラメータに貼り付ける必要があります。 |
| クライアント ID | 文字列 | なし | いいえ | Google Cloud アカウントのクライアント ID。認証 JSON ファイルの「client_id」パラメータにあります。この値をコピーして、この統合構成パラメータに貼り付ける必要があります。 |
| 認証 URI | 文字列 | https://accounts.google.com/o/oauth2/auth | いいえ | Google Cloud アカウントの認証 URI。認証 JSON ファイルの「auth_uri」パラメータにあります。この値をコピーして、この統合構成パラメータに貼り付ける必要があります。 |
| トークン URI | 文字列 | https://oauth2.googleapis.com/token |
いいえ | Google Cloud アカウントのトークン URI。認証 JSON ファイルの「token_uri」パラメータにあります。この値をコピーして、この統合構成パラメータに貼り付ける必要があります。 |
| 認証プロバイダ X509 URL | 文字列 | https://www.googleapis.com/oauth2/v1/certs |
いいえ | Google Cloud アカウントの認証プロバイダ X509 URL。認証 JSON ファイルの「auth_provider_x509_cert_url」パラメータにあります。この値をコピーして、この統合構成パラメータに貼り付ける必要があります。 |
| クライアント X509 URL | 文字列 | なし | いいえ | Google Cloud アカウントのクライアント X509 URL。認証 JSON ファイルの「client_x509_cert_url」パラメータにあります。この値をコピーして、この統合構成パラメータに貼り付ける必要があります。 |
| サービス アカウントの JSON ファイルの内容 | 文字列 | なし | いいえ | 省略可: 秘密鍵 ID、秘密鍵、その他のパラメータを指定する代わりに、サービス アカウント ファイルの完全な JSON コンテンツをここで指定します。このパラメータが指定されている場合、他の接続パラメータは無視されます。 |
| SSL を確認 | チェックボックス | オン | いいえ | 有効になっている場合は、統合で、 Google Cloud サービスへの接続用の SSL 証明書が有効かどうかが確認されます。 |
アクション
Ping
説明
Google Security Operations の [Marketplace] タブの統合構成ページで提供されているパラメータを使用して、Identity and Access Management サービスへの接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
一般 |
エンティティの拡充
説明
Identity and Access Management のサービス アカウント情報で Google SecOps ユーザー エンティティを拡充します。このアクションでは、Identity and Access Management サービス アカウントのメールアドレスが Google SecOps ユーザー エンティティとして必要です。
実行
このアクションはユーザー エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"name": "projects/silver-shift-275007/serviceAccounts/dmitrystestsa@silver-shift-275007.iam.gserviceaccount.com",
"projectId": "silver-shift-275007",
"uniqueId": "104627053409757134782",
"email": "dmitrystestsa@silver-shift-275007.iam.gserviceaccount.com",
"displayName": "dmitrys Test SA displayName",
"etag": "MDEwMjE5MjA=",
"description": "Service account description",
"oauth2ClientId": "104627053409757134782"
}
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| Google_IAM_name | |
| Google_IAM_project_id | .. |
| Google_IAM_unique_id | |
| Google_IAM_email | |
| Google_IAM_display_name | |
| Google_IAM_description | |
| Google_IAM_oauth2_client_id |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラー、SDK エラーの場合::「アクション「エンティティの拡充」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
| テーブル(拡充) | テーブル名: {entity} 拡充テーブル 列: Key、Value |
エンティティ |
サービス アカウントの一覧表示
説明
指定された検索条件に基づいて、Identity and Access Management サービス アカウントを一覧表示します。Google SecOps エンティティではアクションが機能しません。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| サービス アカウントの表示名 | 文字列 | なし | いいえ | 返すサービス アカウントの表示名を指定します。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| サービス アカウントのメール | 文字列 | なし | いいえ | 返すサービス アカウントのメールアドレスを指定します。このパラメータは、カンマ区切りの文字列として複数の値を受け入れます。 |
| 返される最大行数 | 整数 | 50 | いいえ | アクションが返すロールの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"accounts": [
{
"name": "projects/silver-shift-275007/serviceAccounts/dmitrystestsa@silver-shift-275007.iam.gserviceaccount.com",
"projectId": "silver-shift-275007",
"uniqueId": "104627053409757134782",
"email": "dmitrystestsa@silver-shift-275007.iam.gserviceaccount.com",
"displayName": "dmitrys Test SA displayName",
"etag": "MDEwMjE5MjA=",
"description": "Service account description",
"oauth2ClientId": "104627053409757134782"
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。 致命的なエラー、無効なゾーン、SDK エラー(認証情報が間違っている、サーバーへの接続がないなど)の場合::「アクション「サービス アカウントの一覧表示」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
| テーブル | テーブル名: Google Cloud Service Accounts テーブル列: サービス アカウント名 サービス アカウントの一意の ID サービス アカウントのメール サービス アカウントの表示名 サービス アカウントの説明 サービス アカウントの OAuth2 クライアント ID |
全般 |
サービス アカウントを作成する
説明
Identity and Access Management サービス アカウントを作成します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| サービス アカウント ID | 文字列 | 文字列 | はい | 作成するサービス アカウント ID を指定します。 |
| サービス アカウントの表示名 | 文字列 | 文字列 | いいえ | 作成するサービス アカウントの表示名を指定します。 |
| サービス アカウントの説明 | 文字列 | 文字列 | いいえ | 作成するサービス アカウントの説明を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"name": "projects/silver-shift-275007/serviceAccounts/dmitrystestsa@silver-shift-275007.iam.gserviceaccount.com",
"projectId": "silver-shift-275007",
"uniqueId": "104627053409757134782",
"email": "dmitrystestsa@silver-shift-275007.iam.gserviceaccount.com",
"displayName": "dmitrys Test SA displayName",
"etag": "MDEwMjE5MjA=",
"description": "Service account description",
"oauth2ClientId": "104627053409757134782"
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラー、SDK エラーの場合::「アクション「サービス アカウントの作成」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
サービス アカウントの IAM ポリシーを取得する
説明
サービス アカウントのアクセス制御ポリシーを取得します。このアクションでは、Identity and Access Management サービス アカウントのメールアドレスが Google SecOps ユーザー エンティティとして必要です。サービス アカウントにポリシーが割り当てられていない場合、ポリシーは空になることがあります。
実行
このアクションはユーザー エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"version": 1,
"etag": "BwXBuNg8cMA=",
"bindings": [
{
"role": "roles/iam.securityReviewer",
"members": [
"user:dmitrys@siemplify.co"
]
}
]
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラー、SDK エラーの場合::「アクション「サービス アカウントの IAM ポリシーの取得」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
サービス アカウントの IAM ポリシーを設定する
説明
指定したサービス アカウントにアクセス制御ポリシーを設定します。Action は、Identity and Access Management サービス アカウントのメールアドレスを Google SecOps アカウント エンティティとして想定しています。アクションで指定されたポリシーは、既存のポリシーをすべて置き換えます。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ポリシー | 文字列 | なし | はい | サービス アカウントに設定する JSON ポリシードキュメントを指定します。 |
実行
このアクションはアカウント エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"version": 1,
"etag": "BwXBuNg8cMA=",
"bindings": [
{
"role": "roles/iam.securityReviewer",
"members": [
"user:dmitrys@siemplify.co"
]
}
]
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラー、SDK エラーの場合::「アクション「サービス アカウントの IAM ポリシーの設定」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
サービス アカウントを無効にする
説明
サービス アカウントを無効にします。このアクションでは、Identity and Access Management サービス アカウントのメールアドレスが Google SecOps ユーザー エンティティとして必要です。
実行
このアクションはユーザー エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラー、SDK エラーの場合: 「アクション「サービス アカウントの無効化」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
サービス アカウントを有効にする
説明
サービス アカウントを有効にします。このアクションでは、Identity and Access Management サービス アカウントのメールアドレスが Google SecOps ユーザー エンティティとして必要です。
実行
このアクションはユーザー エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラー、SDK エラーの場合::「アクション「サービス アカウントの有効化」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
サービス アカウントの削除
説明
サービス アカウントを削除します。このアクションでは、Identity and Access Management サービス アカウントのメールアドレスが Google SecOps ユーザー エンティティとして必要です。
実行
このアクションはユーザー エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラー、SDK エラーの場合::「アクション「サービス アカウントの削除」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
ロールを一覧表示する
説明
指定された検索条件に基づいて Identity and Access Management ロールを一覧表示します。Google SecOps エンティティではアクションが機能しません。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 表示 | DDL | 基本 | いいえ | ロール情報を返すために使用するビューを指定します。 |
| 返される最大行数 | 整数 | 50 | いいえ | アクションが返すロールの数を指定します。 |
| プロジェクトのカスタムロールのみを一覧表示しますか? | チェックボックス | オフ | いいえ | 有効にすると、アクションは現在のプロジェクト ID に定義されているカスタムロールのみを返します。 |
| 削除済みを表示 | チェックボックス | オフ | いいえ | 有効にすると、アクションで削除されたロールも返されます。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"roles": [
{
"name": "roles/accessapproval.approver",
"title": "Access Approval Approver",
"description": "Ability to view or act on access approval requests and view configuration",
"stage": "BETA",
"etag": "AA=="
},
{
"name": "roles/accessapproval.configEditor",
"title": "Access Approval Config Editor",
"description": "Ability update the Access Approval configuration",
"stage": "BETA",
"etag": "AA=="
}
]
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラー、無効なゾーン、SDK エラーの場合::「アクション「ロールの一覧表示」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
| テーブル | テーブル名: Google Cloud IAM Roles テーブル列: ロール名 ロールのタイトル 役割の説明 Role Stage ロールの ETag ロールの権限 |
全般 |
ロールを作成
説明
Identity and Access Management ロールを作成します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 役割 ID | 文字列 | なし | はい | 新しく作成された Identity and Access Management ロールのロール ID を指定します。 |
| ロール定義 | 文字列 | なし | はい | ロール定義として使用する JSON ポリシー ドキュメントを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
ロールポリシー JSON の例
{
"name": "projects/silver-shift-275007/roles/iam_test_role_api",
"title": "iam_test_role_api",
"description": "test role",
"includedPermissions": [
"storagetransfer.projects.getServiceAccount"
],
"stage": "GA",
"etag": "BwXBu1RHiPw="
}
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"name": "projects/silver-shift-275007/roles/iam_test_role_api",
"title": "iam_test_role_api",
"description": "test role",
"includedPermissions": [
"storagetransfer.projects.getServiceAccount"
],
"stage": "GA",
"etag": "BwXBu1RHiPw="
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラー、SDK エラーの場合::「アクション「ロールの作成」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
ロールを削除
説明
Identity and Access Management ロールを削除します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 役割 ID | 文字列 | なし | はい | 新しく作成された Identity and Access Management ロールのロール ID を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"name": "projects/silver-shift-275007/roles/iam_test_role_api",
"title": "iam_test_role_api",
"description": "test role",
"includedPermissions": [
"storagetransfer.projects.getServiceAccount"
],
"stage": "GA",
"etag": "BwXDDgKFx7M=",
"deleted": true
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ* | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラー、SDK エラーの場合::「アクション「ロールの削除」の実行エラー。理由: {0}」.format(error.Stacktrace) |
全般 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。