ビュー:

リソースのデプロイに必要な権限と、Terraformプロセス中に付与された権限を確認します。

トレンドマイクロ では、 [所有者] の役割を持つサインインを使用してプロジェクトにアクセスすることをお勧めします。 Trend Vision One クラウドセキュリティリソースをプロジェクトに正常にデプロイできるように、アカウントとロールが次の要件を満たしていることを確認してください。
  • 関連付けられたGoogleアカウントは、有効な請求先アカウントである必要があります。
  • このユーザの役割には、次のGoogle Cloudサービスと機能へのアクセス権が必要です。
    • Cloud Shell
    • クラウドストレージ
    • サービスアカウント
    • Workload Identityプール
    • Workload Identityプールプロバイダ
    • IAM
    • タグキー
    • タグの値
    • GCP APIを有効にする
terraformプロセスは、Cloud AccountsおよびTrend Vision One Cloud Securityサービスとの接続を確立するために、特定の権限を自分自身に割り当てます。これらの権限には、Cloud Accountsアプリおよびセキュリティサービスが一時的な認証情報を取得し、Google Cloud環境内でタスクを完了することが含まれます。必要な権限とAPIは以下の表に記載されています。

必要なAPIと権限

機能
サービス
必要なAPI
必要な権限
コア機能 (Conformity)
AlloyDB
  • AlloyDB API
  • alloydb.clusters.list
  • alloydb.instances.list
ApiGateway
  • APIゲートウェイ
  • サービス管理API
  • apigateway.gateways.list
  • apigateway.gateways.getIamPolicy
  • apigateway.locations.get
  • apigateway.apis.list
  • apigateway.apis.getIamPolicy
  • apigateway.apis.get
  • apigateway.apiconfigs.list
  • apigateway.apiconfigs.getIamPolicy
  • servicemanagement.services.get
Apigee
  • Apigee API
  • apigee.apiproducts.list
  • apigee.deployments.list
  • apigee.envgroupattachments.list
  • apigee.envgroups.list
  • apigee.environments.getStats
  • apigee.instanceattachments.list
  • apigee.instances.list
  • apigee.proxies.list
  • apigee.proxyrevisions.get
アーティファクトレジストリ
  • Artifact Registry API
  • artifactregistry.dockerimages.list
  • artifactregistry.repositories.getIamPolicy
  • artifactregistry.repositories.list
BigQuery
  • BigQuery API
  • bigquery.datasets.get
  • bigquery.tables.get
  • bigquery.tables.list
  • bigquery.tables.getIamPolicy
ビッグテーブル
-
  • bigtable.instances.list
  • bigtable.clusters.list
  • bigtable.instances.getIamPolicy
証明書マネージャー
  • 証明書マネージャAPI
  • certificatemanager.certs.list
CloudAPI
  • APIキー API
  • apikeys.keys.list
  • serviceusage.services.list
CloudDNS
  • Cloud DNS API
  • dns.managedZones.list
  • dns.policies.list
CloudFunctions
  • Cloud Functions API
  • cloudfunctions.functions.getIamPolicy
  • cloudfunctions.functions.list
CloudIAM
  • アクセス承認API
  • Cloud Resource Manager API
  • Identity and Access Management (IAM) API
  • accessapproval.settings.get
  • iam.roles.list
  • iam.serviceAccountKeys.list
  • iam.serviceAccounts.get
  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
CloudKMS
  • クラウドキー管理サービス (KMS) API
  • cloudkms.cryptoKeys.getIamPolicy
  • cloudkms.cryptoKeys.list
  • cloudkms.keyRings.list
  • cloudkms.locations.list
クラウドロードバランシング
  • Compute Engine API
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.globalForwardingRules.list
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.sslPolicies.list
  • compute.targetHttpsProxies.list
  • compute.targetSslProxies.list
  • compute.urlMaps.list
クラウドログ
  • クラウドロギングAPI
  • logging.logEntries.list
  • logging.logMetrics.list
  • logging.sinks.list
  • monitoring.alertPolicies.list
CloudSQL
  • Cloud SQL Admin API
  • cloudSql.instances.list
  • cloudsql.instances.listServerCas
クラウドストレージ
  • クラウドストレージAPI
  • storage.buckets.getIamPolicy
  • storage.buckets.list
CloudVPC
  • Compute Engine API
  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
ComputeEngine
  • Compute Engine API
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.instanceGroups.list
  • compute.instances.getIamPolicy
  • compute.instances.list
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.projects.get
  • compute.zones.list
Dataproc
  • Cloud Dataproc API
  • dataproc.clusters.getIamPolicy
  • dataproc.clusters.list
ファイルストア
  • Cloud Filestore API
  • file.instances.list
Firestore
  • Cloud Firestore API
  • datastore.databases.list
GKE
  • Kubernetes Engine API
  • container.clusters.list
Memorystore
  • Cloud Memorystore for Memcached API
  • Google Cloud Memorystore for Redis API
  • memcache.instances.list
  • redis.clusters.list
  • redis.instances.list
ネットワーク接続
  • Compute Engine API
  • ネットワーク接続API
  • compute.routers.list
  • compute.targetVpnGateways.list
  • compute.vpnGateways.list
  • networkconnectivity.hubs.list
  • networkconnectivity.hubs.listSpokes
PubSub
  • Cloud Pub/Sub API
  • pubsub.topics.get
  • pubsub.topics.getIamPolicy
  • pubsub.topics.list
  • pubsublite.topics.list
  • pubsublite.topics.listSubscriptions
リソースマネージャー
  • Cloud Resource Manager API
  • orgpolicy.policy.get
  • resourcemanager.projects.get
スパナー
  • Cloud Spanner API
  • spanner.instances.getIamPolicy
  • spanner.instances.list
VertexAI
  • ノートブックAPI
  • notebooks.instances.getIamPolicy
  • notebooks.instances.list
エージェントレスによる脆弱性と脅威の検出
クラウド課金
  • Cloud Billing API
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.list
  • billing.resourceAssociations.create
CloudIAM
-
  • iam.roles.create
  • iam.roles.delete
  • iam.roles.get
  • iam.serviceAccounts.create
  • iam.serviceAccounts.delete
  • iam.serviceAccounts.get
クラウドログ
-
  • logging.sinks.create
  • logging.sinks.delete
Cloud Run
  • Cloud Run Admin API
  • run.jobs.create
  • run.jobs.delete
  • run.jobs.get
  • run.jobs.list
  • run.jobs.setIamPolicy
  • run.operations.delete
  • run.operations.list
  • run.services.create
  • run.services.delete
  • run.services.get
  • run.services.getIamPolicy
  • run.services.setIamPolicy
クラウドスケジューラ
-
  • cloudscheduler.jobs.create
  • cloudscheduler.jobs.delete
  • cloudscheduler.jobs.enable
クラウドストレージ
-
  • storage.buckets.create
  • storage.buckets.delete
コンピュートエンジン
-
  • compute.firewalls.create
  • compute.firewalls.delete
  • compute.firewalls.get
  • compute.networks.create
  • compute.networks.delete
  • compute.networks.get
  • compute.subnetworks.create
  • compute.subnetworks.delete
Eventarc
  • Eventarc API
  • eventarc.operations.delete
  • eventarc.operations.get
  • eventarc.operations.list
  • eventarc.triggers.create
  • eventarc.triggers.delete
  • eventarc.triggers.get
PubSub
-
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.getIamPolicy
  • pubsub.subscriptions.setIamPolicy
  • pubsub.subscriptions.update
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.get
  • pubsub.topics.getIamPolicy
  • pubsub.topics.setIamPolicy
リソースマネージャー
-
  • resourcemanager.projects.delete
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.setIamPolicy
シークレットマネージャ
-
  • secretmanager.secrets.create
  • secretmanager.secrets.delete
  • secretmanager.secrets.get
  • secretmanager.secrets.getIamPolicy
  • secretmanager.secrets.setIamPolicy
ワークフロー
  • ワークフロー実行API
  • workflows.workflows.create
  • workflows.workflows.delete
  • workflows.workflows.get
  • workflows.workflows.list