GCP 組織とプロジェクトを Prisma Cloud にオンボーディングするときに必要なサービス アカウント権限は何ですか?

• Prisma Cloud エンタープライズエディション (SaaS)

GCP 組織またはプロジェクトを Prisma Cloud にオンボーディングする場合、Prisma Cloud がデータを取り込み、セキュリティ機能や権限、追加機能などの機能を許可できるように、サービス アカウントに特定の権限を追加する必要があります。

Prisma Cloud サービス アカウントが GCP リソースを監視するために必要な権限は、クラウド保護のニーズによって異なります。

• GCP 組織をオンボーディングする場合は、組織の IAMポリシーにロールを割り当てる必要があります。

• GCP プロジェクトをオンボーディングする場合は、各プロジェクトの IAMポリシーにロールを割り当てる必要があります。

• マスター サービス アカウント (MSA) を使用している場合は、次の 2 つのオプションがあります。

  • (推奨) 組織の IAMポリシーに権限を追加します。

  • 各プロジェクトのIAMポリシーにロールを個別に割り当てる

• 閲覧者?GCP における基本的なロール。

• Prisma Cloud ビューア?カスタムロール。Prisma Cloud では、クラウド ストレージ バケットにストレージ バケットのメタデータを読み取り、バケットの IAM ポリシーを更新する権限を付与するために、このカスタムロールが必要です。このロールでは、ストレージ バケットのリストを取得するためのstorage.buckets.getと、指定されたバケットの IAMポリシーを取得するためのstorage.buckets.getIampolicyが必要です。
  • この場合、必要な権限を持つカスタムロールを作成する Terraform スクリプトを実行できません。代わりに、YAML ファイルを作成し、カスタムロールの詳細な権限を追加できます。
  • この YAML 形式を例として使用します。上記のリンクから、GCP 組織またはプロジェクトをオンボーディングするための権限をこのファイルに追加する必要があります。

title: prisma-custom-role 
description: prisma-custom-role 
stage: beta 
includedPermissions: 
- compute.networks.list 
- compute.backendServices.list
.
.
.

• コンピューティング セキュリティ管理者: GCP で事前定義されたロール。自動修復を有効にする場合にのみ必要なオプションの権限。

• 組織ロール閲覧者: GCP で事前定義されたロール。このロールは、GCP 組織のオンボーディングに必要です。

• Dataflow 管理者: GCP の事前定義されたロール。Dataflow サービスを使用したデータフロー ログの圧縮に必要なオプションの権限。詳細については、 GCP でのフローログの圧縮をご覧ください。

• フォルダ閲覧者: GCP の事前定義されたロール。GCP フォルダ メタデータをオンボードし、特定のフォルダを選択 (フォルダを含めるか除外するか) し、フォルダ階層に基づいてアカウント グループを自動的に作成する場合にのみ必要なオプションの権限です。

• ドキュメント: GCP 組織とプロジェクトをオンボードするための前提条件