Google Cloud リソースを接続する

Google Cloud のリソースは階層的に構成されています。Google Cloud の Identity and Access Management（IAM）システムを使用して、特定のリソースへのきめ細かなアクセス権を付与し、その他への不要なアクセスを防ぐことができます。IAM ポリシーの階層は、Google Cloud のリソース階層と同じ構造に従います。

DoiT プラットフォームの機能を最大限に提供するため、Google API にアクセスしてモニタリングやアラート用の情報を取得し、必要に応じて推奨事項に基づいて対応いただけるよう、異なるレベルでの権限が必要です。詳細については、セキュリティおよびデータアクセス・ポリシー: 機能別権限を参照してください。

必要な権限

Google Cloud リソースを DoiT コンソールに接続するには、次の条件が必要です。

• DoiT アカウントに Manage Settings 権限が付与されていること。

• Google Cloud Organization を接続するには、その組織に対して Organization Role Administrator（roles/iam.organizationRoleAdmin）IAM ロールが付与されている必要があります。このロールは、組織配下のサービスアカウントにカスタムロールを作成・付与するために必要です。

• まだ接続されていない組織に属さない Google Cloud プロジェクトを接続するには、そのプロジェクトに対して Role Administrator（roles/iam.RoleAdmin）IAM ロールが付与されている必要があります。このロールは、プロジェクト配下のサービスアカウントにカスタムロールを作成・付与するために必要です。

• Google Cloud Recommender BigQuery Export からのインサイトを表示するために BigQuery データセットを接続する場合、そのデータセットをホストしているプロジェクトに対して Role Administrator（roles/iam.RoleAdmin）IAM ロールが付与されている必要があります。このロールは、プロジェクト配下のサービスアカウントにカスタムロールを作成・付与するために必要です。

サービスアカウント認証

Google Cloud では、サービスアカウント をワークロードのアイデンティティとして使用できます。2023 年 6 月以降、DoiT コンソールのワークロード用サービスアカウントの推奨される認証方法は、サービスアカウントキーに関連するセキュリティリスクを軽減する service account impersonation に変更されます。

service account impersonation には、次の 2 つのプリンシパルが関与します。

• 対象リソースにアクセスするために必要な権限を持つ 権限保持サービスアカウント

• 対象リソースにアクセスする必要があるものの、権限を持たない 呼び出し元

DoiT ワークロードのアイデンティティを構成する

DoiT コンソールを接続する際、DoiT ワークロードのアイデンティティを構成するために主に次の 2 つのタスクを実行する必要があります。

• タスク 1: 対象リソースにアクセスする権限を持つ権限保持サービスアカウントを作成します。

• タスク 2: DoiT が所有するサービスアカウント [email protected]（呼び出し元）に ServiceAccountTokenCreator ロールを付与し、権限保持サービスアカウントのなりすましを許可します。

  注意

  GCP 組織ポリシーでドメインによるアイデンティティの制限を行っている場合は、組織リソース ID C03rw2ty2 を使用して DoiT の呼び出し元サービスアカウントを許可リストに追加してください。

以下に、詳細な設定手順を示します。

1. DoiT コンソールにサインインし、上部ナビゲーションのメガメニューから Data ingestion and integrations を選択し、Google Cloud を選択します。

   

2. 対象リソースタイプに応じて、該当するセクションに進んでください。

   • 組織を接続する
   • プロジェクトを接続する
   • データセットを接続する

組織を接続する

1. Connect ドロップダウンから Organization を選択します。

2. 組織で有効にしたい機能を選択します。必要な権限を確認するには、機能を展開してください。

   

3. Generate gcloud commands を選択します。実行する必要がある gcloud コマンドが DoiT コンソールに表示されます。

   

4. BigQuery Intelligence データセットを保存するロケーションを選択します。

5. Google Cloud Shell を起動します。

6. 次の条件を満たす Google Cloud プロジェクトを選択します。

   • プロジェクトが自分の組織に属していること。

   • プロジェクトが Google Cloud Billing アカウントに接続されていること（プロジェクトの課金ステータスを確認を参照）。

   • 長期的に維持する予定があり、信頼できるユーザーのみにアクセスを制限するプロジェクトであること。

7. DoiT コンソールで提示されたコマンドを順番に実行して、組織のアクセス制御を構成します。

   1. 現在のプロジェクトに新しいサービスアカウントを作成します。

   2. 現在のプロジェクトで service usage API と resource manager API を有効にします。

   3. Google IAM 組織 ID を取得します。

   4. 選択した機能に必要な権限を持つ doit_cmp_role という名前のカスタムロールを作成し、ポリシーバインディングを追加して、そのロールを組織配下の新しいサービスアカウントに付与します。権限は組織レベルで付与されます。

   5. IAM ポリシーバインディングを追加して、roles/iam.serviceAccountTokenCreator ロールを DoiT の呼び出し元サービスアカウントに付与し、権限保持サービスアカウントのなりすましを許可します。

8. Google Cloud コンソールにサインインし、Roles ページに移動して、組織内で DoiT サービスアカウントに紐づく doit_cmp_role が作成されていることを確認します。

プロジェクトを接続する

このセクションは、次のような場合に該当します。

• まだ接続されていない組織に属さない Google Cloud プロジェクトを接続したい場合。

• データセットを接続して、GCP Recommender BigQuery export からのインサイトを DoiT Insights に表示したい場合。

• BigQuery のリアルタイムアノマリー検出や Composer など、プロジェクトレベルの機能を有効にしたい場合。

プロジェクトを接続するには、次の手順を実行します。

1. Connect ドロップダウンから Project を選択します。

2. プロジェクトで有効にしたい機能を選択します。必要な権限を確認するには、機能を展開してください。

   

3. Generate gcloud commands を選択します。実行する必要がある gcloud コマンドが DoiT コンソールに表示されます。

   

4. Google IAM プロジェクト ID を取得します。プロジェクトの特定を参照してください。

5. Google Cloud Shell を起動し、接続したいプロジェクトを選択します。

6. DoiT コンソールで提示されたコマンドを順番に実行して、プロジェクトのアクセス制御を構成します。

   1. プロジェクト ID を設定します。

   2. プロジェクトに新しいサービスアカウントを作成します。

   3. プロジェクトで service usage API と resource manager API を有効にします。

   4. 選択した機能に必要な権限を持つ doit_cmp_role という名前のカスタムロールを作成し、ポリシーバインディングを追加して、そのロールを新しいサービスアカウントに付与します。権限はプロジェクトレベルで付与されます。

   5. IAM ポリシーバインディングを追加して、roles/iam.serviceAccountTokenCreator ロールを DoiT の呼び出し元サービスアカウントに付与し、権限保持サービスアカウントのなりすましを許可します。

   6. サービスアカウントの詳細を doit_cmp_sa_details.json という名前のファイルにダウンロードし、DoiT コンソールで Upload file を選択してファイルをアップロードします。

7. Google Cloud コンソールにサインインし、Roles ページに移動して、プロジェクト内で DoiT サービスアカウントに紐づく doit_cmp_role が作成されていることを確認します。

データセットを接続する

GCP Recommender BigQuery export からのインサイトを有効化するには、インサイトと推奨事項データを含む BigQuery データセットを接続する必要があります。

Important

次の前提条件をすべて満たしている場合にのみ続行してください。

• Google Cloud Recommender からのインサイトと推奨事項データが BigQuery データセットにエクスポートされている。

• 組織を接続する際に Core 機能を有効にしている。

• BigQuery データセットをホストしているプロジェクトを接続する際に Core 機能を有効にしている。

1. Connect ドロップダウンから Dataset を選択します。

2. Insights from GCP Recommender BigQuery export のチェックボックスを選択します。機能を展開すると、必要な権限を確認できます。

   

3. Generate gcloud commands を選択して、実行が必要な手順と gcloud コマンドを表示します。

   

4. 新しいサービスアカウントを構成するために、データセット名と識別子を入力します。DoiT コンソールに表示されている命名規則に必ず従ってください。

5. Google IAM Project ID を取得します。詳しくは、プロジェクトの特定を参照してください。

6. Google Cloud Shell を起動し、データセットをホストしているプロジェクトを選択します。

7. DoiT コンソールで提示されるコマンドを順番に実行して、BigQuery データセットリソースのアクセス制御を構成します。

   1. プロジェクト ID を設定します。

   2. データセットへのアクセス用の新しいサービスアカウントを作成します。

   3. プロジェクトレベルの権限を持つ doit_cmp_dataset_project_access_role というカスタムロールを作成し、ポリシーバインディングを追加して、そのロールをサービスアカウントに付与します。

   4. データセットレベルの権限を持つ doit_cmp_dataset_access_role というカスタムロールを作成し、データセットの IAM ポリシーを更新して、そのロールをサービスアカウントに付与します。

   5. ロール roles/iam.serviceAccountTokenCreator を DoiT 呼び出し元サービスアカウントに付与する IAM ポリシーバインディングを追加し、そのサービスアカウントが権限を持つサービスアカウントを偽装できるようにします。

8. サービスアカウントの詳細を doit_cmp_dataset_sa_details.json という名前のファイルにダウンロードし、DoiT コンソールで Upload file を選択してファイルをアップロードします。

9. Google Cloud コンソールにサインインし、Roles ページに移動して、プロジェクト内の DoiT サービスアカウントに関連付けられた 2 つのカスタムロール（doit_cmp_dataset_project_access_role と doit_cmp_dataset_access_role）が作成されていることを確認します。

ロールを更新する

リソースに対して機能を追加または削除するには、次の手順を実行します。

1. 画面上部のナビゲーションメガメニューから Data ingestion and integrations を選択し、Google Cloud を選択します。

2. 更新したいリソースの横にあるケバブメニュー（⋮）を選択し、Edit を選択します。

3. 必要に応じて機能の選択を変更します。

4. Generate gcloud commands を選択します。

5. サイドパネルに表示される手順に従って、カスタムロールを更新してください。

複数のリソースを接続する

• 複数の Google Cloud 組織またはプロジェクトがある場合、それぞれを個別に接続して、どの組織またはプロジェクトがどの機能にアクセスできるかを制御してください。

  現時点では、BigQuery Intelligence は複数のサービスアカウントをサポートしていません。Set up BigQuery Intelligence を参照してください。

• インサイトと推奨事項用に複数の BigQuery データセットを接続した場合、DoiT Insights は接続されているすべてのデータセット内のデータに基づいてインサイトを生成します。

接続を削除する

接続済みの組織、プロジェクト、またはデータセットを削除するには、次の手順を実行します。

1. 切断したいリソースの横にあるケバブメニュー（⋮）を選択します。

2. Delete connection を選択します。

サービスアカウントを削除する

接続済みの組織配下のサービスアカウントを DoiT コンソールから削除して新しいサービスアカウントを作成する必要がある場合は、次の点に注意してください。

• DoiT コンソールからサービスアカウントを削除すると、BigQuery Intelligence によって作成された関連するデータセットとシンクも削除されます。

• 新しいサービスアカウントに BigQuery Intelligence の権限が付与されると、シンクが再作成され、履歴ジョブのバックフィルがトリガーされます。その結果、サービスアカウントのセットアップ中にコストが増加する可能性があります。