Google Cloud アカウントを追加する
yamory の クラウドで Google Cloud アカウントをスキャンするために、 Google Cloud アカウントを yamory に登録する方法を説明します。
始める前に
Workload Identity 連携を行うため、IAM, Resource Manager, Service Account Credentials, Security Token ServiceのAPIを有効にします。
既に有効化されている場合はこの手順はスキップできます。
スキャン対象となっている一部の Google Cloud サービスは、 リソース取得用の API がデフォルトで有効化されておりません。全量をスキャンするためには、API を有効にする必要があります。yamory のスキャン対象の一覧は、「yamory で利用する Google Cloud API の一覧」ページをご覧ください。
Google Cloud アカウントの追加手順
以下の手順で、Google Cloud アカウントを追加できます。
- サービスアカウントの作成
- ID プールの作成
- サービスアカウントの連携
アカウント追加ウィザードの開始
「クラウド」カテゴリの「アカウント」画面から「新しいアカウントを追加」ボタンをクリックします。
サービスアカウントの作成
Google Cloud コンソールのナビゲーションメニューより「IAMと管理」「サービスアカウント」を選択し、サービスアカウントの画面を表示します。
「サービスアカウントを作成」をクリックし、サービスアカウントを任意の名称で作成します。権限の選択では「閲覧者」を選択してください。
「完了」ボタンをクリックして作成したサービスアカウントを保存してください。
ID プール の作成
必要なロール
Workload Identity 連携の構成に必要な権限を取得するには、プロジェクトに対して次の IAM ロールを付与するよう管理者に依頼してください。
・ID プール管理者(roles/iam.workloadIdentityPoolAdmin)
・サービスアカウント管理者(roles/iam.serviceAccountAdmin)
ロールの付与の詳細については、アクセスの管理をご覧ください。
Google Cloud コンソールのナビゲーションメニューより「IAMと管理」「Workload Identity 連携」を選択し、Workload Identity 連携の画面を表示します。
「プールを作成」をクリックし、ID プールとプロバイダを任意の名称で作成します。
「AWS アカウント ID」には yamory から指定された AWS アカウント ID を入力してください。
「AWS アカウント ID」は yamory の アカウント追加ウィザードより取得します。
「保存」ボタンをクリックして作成した ID プールとプロバイダを保存してください。
「アクセスの許可」ボタンをクリックしてサービスアカウントにアクセス権限を付与します。
先ほど登録したサービスアカウントを選択します。
「フィルタに一致する ID のみ」「aws_role」を選択し、フィルターの値には yamory から指定された AWS Role ARN を入力してください。
続いてプロバイダを選択、「構成をダウンロード」ボタンをクリックして、構成情報を取得してください。
「AWS Role ARN」は yamory の アカウント追加ウィザードより取得します。
「外部ID再生成」ボタンで、アカウント毎に外部IDを再生成できます。
外部IDとは、権限を与える際に一意の識別子を提供し、混乱する代理問題
を回避するために役立てることができます。
サービスアカウントの連携
構成情報のダウンロードが完了したら、yamory 側への登録作業を行います。ダウンロードしたファイルを開き、yamory の 構成情報(json)に内容のコピー・貼り付けてから「アカウントを追加」ボタンをクリックします。
制限事項
Workload Identity 連携直後は、Google Cloud 側と接続できずスキャンできない場合があります。連携してから20分程時間をおいてスキャンを実行してください。
以上でアカウントの追加は完了です。