コンプライアンス マネージャーを有効にして、VPC Service Controls サービス境界のサポートを構成し、フレームワークを Google Cloud組織に適用できるようにします。
始める前に
コンプライアンス マネージャーを有効にする前に、次のタスクを完了します。
-
コンプライアンス マネージャーを有効にするために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
-
組織ポリシー管理者(
roles/orgpolicy.policyAdmin) -
セキュリティ センター管理者編集者(
roles/securitycenter.adminEditor)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
-
組織ポリシー管理者(
コンプライアンス マネージャーを有効にする
組織レベルでコンプライアンス マネージャーを有効にするには、次の操作を行います。
次のいずれかの方法でコンプライアンス マネージャーを有効にします。
シナリオ 手順 Security Command Center を有効にしていないか、Security Command Center スタンダード ティアを使用しており、Security Command Center のプレミアム ティアを使用したい。 Security Command Center Premium を有効にすることで、コンプライアンス マネージャーを有効にします。 Security Command Center を有効にしておらず、Security Command Center Enterprise ティアを使用したい。 Security Command Center Enterprise を有効にすることで、コンプライアンス マネージャーを有効にします。 Security Command Center プレミアム ティアを以前に有効にしており、コンプライアンス マネージャーを有効にしたい。 [設定] ページでコンプライアンス マネージャーを有効にします。 Security Command Center Enterprise ティアを以前に有効にしており、コンプライアンス マネージャーを有効にしたい。 [Activate Compliance Manager] ページを使用して、コンプライアンス マネージャーを有効にします。 Security Command Center のティアの詳細については、Security Command Center のサービスティアをご覧ください。
コンプライアンス マネージャーは、顧客管理の暗号鍵(CMEK)をサポートしていません。
コンプライアンス マネージャーを有効にすると、次のサービスも有効になります。
- Sensitive Data Protection: デフォルトのデータリスク評価にデータ機密性シグナルを使用します。
- 組織レベルの Event Threat Detection(Security Command Center の一部)。
- データ セキュリティ フレームワークのデータ セキュリティ ポスチャー管理。
- (プレビュー)AI セキュリティ フレームワークの AI 保護。
Cloud Security Compliance サービス エージェント(
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com)は、コンプライアンス マネージャーを有効にすると作成されます。コンプライアンス マネージャーは、このサービス エージェントを使用して組織内のリソースにアクセスします。
Security Command Center Premium では、フレームワークは組織に自動的に適用されません。
Security Command Center Enterprise では、次のフレームワークが組織に自動的に適用されます。
- AI の保護
- データ セキュリティとプライバシーの基本
次のステップ
- コンプライアンス ユーザーの IAM ロールを構成する。
- VPC Service Controls のサポートを構成する
- フレームワークを管理する。
- データ セキュリティ ポスチャー管理を構成する。
- (プレビュー)AI 保護を構成する。