Google Cloudプロジェクトに必要な権限

ビュー:

Trend Vision OneにGoogle Cloudプロジェクトを接続する際に必要な権限と付与される権限を確認してください。

Google Cloud 必要な権限

機能	必要な権限	説明
主な機能	`compute.regions.list` `iam.roles.create` `iam.roles.delete` `iam.roles.get` `iam.serviceAccounts.actAs` `iam.serviceAccounts.create` `iam.serviceAccounts.delete` `iam.serviceAccounts.get` `iam.serviceAccounts.getIamPolicy` `iam.serviceAccounts.setIamPolicy` `iam.workloadIdentityPoolProviderKeys.delete` `iam.workloadIdentityPoolProviders.create` `iam.workloadIdentityPoolProviders.delete` `iam.workloadIdentityPoolProviders.get` `iam.workloadIdentityPools.create` `iam.workloadIdentityPools.delete` `iam.workloadIdentityPools.get` `iam.workloadIdentityPools.update` `iam.workloadIdentityPools.list` `resourcemanager.projects.get` `resourcemanager.projects.getIamPolicy` `resourcemanager.projects.setIamPolicy` `resourcemanager.tagKeys.create` `resourcemanager.tagKeys.delete` `resourcemanager.tagKeys.get` `resourcemanager.tagKeys.list` `resourcemanager.tagValues.create` `resourcemanager.tagValues.delete` `resourcemanager.tagValues.get` `resourcemanager.tagValues.list` `serviceusage.services.enable` `serviceusage.services.list` `serviceusage.services.use` `storage.buckets.create` `storage.buckets.delete` `storage.buckets.get` `storage.objects.update` `storage.buckets.getIamPolicy` `storage.buckets.setIamPolicy` `storage.buckets.list` `storage.buckets.update` `storage.objects.create` `storage.objects.delete` `storage.objects.get` `storage.objects.getIamPolicy` `storage.objects.list` `storage.objects.move` `storage.objects.setIamPolicy`	これらの権限は、Google CloudプロジェクトをTrend Vision Oneに接続するために必要です。
Cloud Security Posture	アクション: `accessapproval.settings.get` `alloydb.clusters.list` `alloydb.instances.list` `apigateway.locations.get` `apigateway.gateways.list` `apigateway.gateways.getIamPolicy` `apigateway.apis.list` `apigateway.apis.get` `apigateway.apis.getIamPolicy` `apigateway.apiconfigs.list` `apigateway.apiconfigs.getIamPolicy` `apigee.apiproducts.list` `apigee.deployments.list` `apigee.envgroupattachments.list` `apigee.envgroups.list` `apigee.environments.getStats` `apigee.instanceattachments.list` `apigee.instances.list` `apigee.proxies.list` `apigee.proxyrevisions.get` `apikeys.keys.list` `artifactregistry.repositories.list` `bigtable.instances.list` `bigtable.clusters.list` `bigtable.instances.getIamPolicy` `bigquery.datasets.get` `bigquery.tables.get` `bigquery.tables.list` `bigquery.tables.getIamPolicy` `cloudkms.cryptoKeys.getIamPolicy` `cloudkms.cryptoKeys.list` `cloudkms.keyRings.list` `cloudkms.locations.list` `cloudsql.instances.list` `cloudsql.instances.listServerCas` `cloudsql.instances.listServerCas` `compute.backendServices.getIamPolicy` `compute.backendServices.list` `compute.disks.getIamPolicy` `compute.disks.list` `compute.regionBackendServices.getIamPolicy` `compute.regionBackendServices.list` `compute.regionSslPolicies.list` `compute.firewalls.list` `compute.globalForwardingRules.list` `compute.images.getIamPolicy` `compute.images.list` `compute.instances.list` `compute.instances.getIamPolicy` `compute.machineImages.getIamPolicy` `compute.machineImages.list` `compute.networks.list` `compute.subnetworks.list` `compute.subnetworks.getIamPolicy` `compute.projects.get` `compute.targetHttpsProxies.list` `compute.targetSslProxies.list` `compute.sslPolicies.list` `compute.urlMaps.list` `compute.targetVpnGateways.list` `compute.vpnGateways.list` `compute.instanceGroups.list` `compute.zones.list` `container.clusters.list` `container.clusters.get` `dataproc.clusters.list` `dataproc.clusters.getIamPolicy` `_{datastore.databases}.list` `dns.policies.list` `dns.managedZones.list` `file.instances.list` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `iam.serviceAccounts.getIamPolicy` `iam.serviceAccountKeys.list` `iam.roles.list` `logging.logEntries.list` `logging.logMetrics.list` `logging.sinks.list` `memcache.instances.list` `monitoring.alertPolicies.list` `orgpolicy.policy.get` `pubsub.topics.get` `pubsub.topics.getIamPolicy` `pubsub.topics.list` `pubsub.subscriptions.get` `pubsublite.topics.list` `pubsublite.topics.listSubscriptions` `redis.clusters.list` `redis.instances.list` `resourcemanager.projects.get` `resourcemanager.projects.getIamPolicy` `servicemanagement.services.get` `serviceusage.services.list` `spanner.instances.getIamPolicy` `spanner.instances.list` `storage.buckets.getIamPolicy` `storage.buckets.list` `certificatemanager.certs.list` `compute.routers.list` `cloudfunctions.functions.list` `cloudfunctions.functions.getIamPolicy` `networkconnectivity.hubs.list` `networkconnectivity.hubs.listSpokes` `networkconnectivity.hubs.getIamPolicy` `notebooks.instances.list` `notebooks.instances.getIamPolicy` `artifactregistry.dockerimages.list`
エージェントレスによる脆弱性と脅威の検出	Control Plane Service Account Purpose:はコントロールプレーンの操作を管理します顧客プロジェクトの権限: アーティファクトレジストリリーダー (`roles/artifactregistry.reader`) Cloud Functions Viewer (`roles/cloudfunctions.viewer`) サービスアカウントユーザ (`roles/iam.serviceAccountUser`) `compute.disks.createSnapshot`権限を持つカスタムロールサイドカープロジェクトの権限: アーティファクトレジストリリーダー (`roles/artifactregistry.reader`) Cloud Functions Viewer (`roles/cloudfunctions.viewer`) サービスアカウントユーザ (`roles/iam.serviceAccountUser`) コンピュートビューアー (`roles/compute.viewer`) ワークフロービューアー (`roles/workflows.viewer`) ロギングライター (`roles/logging.logWriter`) スナップショットとディスク管理の権限を持つカスタムロール
	Customer Role Service Account Purpose:は顧客固有の操作を処理します顧客プロジェクトの権限: アーティファクトレジストリリーダー (`roles/artifactregistry.reader`) コンピュートビューアー (`roles/compute.viewer`) サービスアカウントユーザ (`roles/iam.serviceAccountUser`) サービスアカウントトークン作成者 (`roles/iam.serviceAccountTokenCreator`) サイドカープロジェクトの権限: Cloud Run Invoker (`roles/run.invoker`)
	Data Plane Service Account Purpose:はデータプレーン操作を実行しますサイドカープロジェクトの権限: ストレージオブジェクトビューアー (`roles/storage.objectViewer`) アーティファクトレジストリリーダー (`roles/artifactregistry.reader`) Cloud Functions Viewer (`roles/cloudfunctions.viewer`) サービスアカウントユーザ (`roles/iam.serviceAccountUser`) ロギングライター (`roles/logging.logWriter`) ワークフローインボーカー (`roles/workflows.invoker`) およびビューアー Eventarcイベントレシーバー (`roles/eventarc.eventReceiver`) サービスアカウントトークン作成者 (`roles/iam.serviceAccountTokenCreator`) VMとディスク管理権限を持つカスタムロール顧客プロジェクトの権限: コンピュートビューアー (`roles/compute.viewer`)
リアルタイム状態監視	N/A