ベースシステム クラウドコンフィグレーションガバナンス 構成キーを収集するために必要なクラウド権限

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:15分

    • クラウドコンフィグレーションガバナンス では、クラウドからベースシステム 構成キーを収集するためには適切なクラウド権限が必要です。したがって、組織のニーズに合わせてクラウドで適切な権限を設定する必要があります。

    注:
    クラウドコンフィグレーションガバナンス バージョン 1.3.7 以降、ベースシステムのコンテンツは CCG コンテンツパックに移動されます。ベースシステムの クラウドコンフィグレーションガバナンス コンテンツにアクセスするには、CCG コンテンツパックをインストールします。

    Amazon Web サービス (AWS) データセンター

    クラウドコンフィグレーションガバナンス は次のアイテムを使用して、 AWS データセンター構成キーの構成キーを収集します。

    • リソースコレクター:クラウドサービスアカウント
    • 使用するクラウド API:アクション:DescribeRegions
    • クラウド権限:ec2: DescribeRegions
    表 : 1. AWS データセンター構成キー
    構成キー データタイプ
    AWS:EC2:VM:DescribeRegions String

    AWS Identity and Access Management (IAM) ユーザー

    クラウドコンフィグレーションガバナンス は次のアイテムを使用して、 AWS IAM ユーザー構成キーの構成キーを収集します。

    • リソースコレクター:AWS IAM ユーザーデータコレクター
    • 使用されるクラウド API:
      • アクション:GetCredentialReport および GenerateCredentialReport
      • サービス:AWS IAM service
    • クラウド権限:Iam:GetCredentialReport および Iam:GenerateCredentialReport
    表 : 2. AWS IAM ユーザー構成キー
    構成キー データタイプ
    AWS:IAM:Policy:ARN String
    AWS:IAM:Policy:AttachmentCount String
    AWS:IAM:Policy:CreateDate String
    AWS:IAM:Policy:PolicyName String
    AWS:IAM:Policy:UpdateDate String
    AWS:IAM:User:AccessKey1.active Boolean
    AWS:IAM:User:AccessKey1.lastRotated Date
    AWS:IAM:User:AccessKey1.lastUsedDate Date
    AWS:IAM:User:AccessKey1.lastUsedRegion String
    AWS:IAM:User:AccessKey1.lastUsedService String
    AWS:IAM:User:AccessKey2.active Boolean
    AWS:IAM:User:AccessKey2.lastRotated Date
    AWS:IAM:User:AccessKey2.lastUsedDate Date
    AWS:IAM:User:AccessKey2.lastUsedRegion String
    AWS:IAM:User:AccessKey2.lastUsedService String
    AWS:IAM:User:Certificate1.active Boolean
    AWS:IAM:User:Certificate1.lastRotated Date
    AWS:IAM:User:Certificate2.active Boolean
    AWS:IAM:User:Certificate2.lastRotated Date
    AWS:IAM:User:CreationTime Date
    AWS:IAM:User:LoginProfile.active Boolean
    AWS:IAM:User:MfaEnabled Boolean
    AWS:IAM:User:PasswordEnabled Boolean
    AWS:IAM:User:PasswordLastChanged String
    AWS:IAM:User:PasswordLastUsed Date
    AWS:IAM:User:PasswordNextRotation String

    AWS オブジェクトストレージ

    クラウドコンフィグレーションガバナンス は次のアイテムを使用して、 AWS IAM ユーザー構成キーの構成キーを収集します。

    • 構成コレクター:AWS S3 暗号化メトリクスコレクター
    • リソースコレクター: AWS S3 リソースコレクター
    • 使用するクラウド API:アクション:S3 サービスでの ListBuckets および GetBucketEncryption
    • クラウド権限:s3:ListBucket および s3:GetEncryptionConfiguration
    表 : 3. AWS オブジェクトストレージ構成キー
    構成キー データタイプ
    AWS:S3:Encryption:BucketKeyEnabled Boolean
    AWS:S3:Encryption:KMSMasterKeyID String
    AWS:S3:Encryption:ServerSideEncryptionEnabled Boolean
    AWS:S3:Encryption:SSEAlgorithm String
    • 構成コレクター:AWS S3 ACL 権限メトリクスコレクター
    • リソースコレクター: AWS S3 リソースコレクター
    • 使用するクラウド API:Action: GetBucketAcl
    • クラウド権限:s3:GetBucketAcl
    表 : 4. AWS オブジェクトストレージ構成キー
    構成キー データタイプ
    AWS:S3:ACL:AuthnUsersListing Boolean
    AWS:S3:ACL:AuthnUsersReadACL Boolean
    AWS:S3:ACL:AuthnUsersWrite Boolean
    AWS:S3:ACL:AuthnUsersWriteACL Boolean
    AWS:S3:ACL:OwnerFullControl Boolean
    AWS:S3:ACL:OwnerId String
    AWS:S3:ACL:OwnerListing Boolean
    AWS:S3:ACL:OwnerName String
    AWS:S3:ACL:OwnerReadACL Boolean
    AWS:S3:ACL:OwnerWrite Boolean
    AWS:S3:ACL:OwnerWriteACL Boolean
    AWS:S3:ACL:PublicListing Boolean
    AWS:S3:ACL:PublicReadACL Boolean
    AWS:S3:ACL:PublicWrite Boolean
    AWS:S3:ACL:PublicWriteACL Boolean

    AWS 仮想マシンインスタンス

    クラウドコンフィグレーションガバナンス は次のアイテムを使用して、 AWS 仮想マシンインスタンス構成キーの構成キーを収集します。

    • リソースコレクター:AWS VM ユーザーデータコレクター
    • 使用するクラウド API:アクション: DescribeInstances および AWS EC2 リソース
    • クラウド権限:ec2:DescribeInstances
    表 : 5. AWS 仮想マシンインスタンス構成キー
    構成キー データタイプ
    AWS:EC2:VM:CapacityReservationPreference String
    AWS:EC2:VM:CpuOptionsCoreCount Numeric
    AWS:EC2:VM:CpuOptionsThreadsPerCore Numeric
    AWS:EC2:VM:EbsOptimized Boolean
    AWS:EC2:VM:HardwareType String
    AWS:EC2:VM:ImageId String
    AWS:EC2:VM:InstanceState String
    AWS:EC2:VM:KeyName String
    AWS:EC2:VM:LaunchTime Date
    AWS:EC2:VM:MonitoringState String
    AWS:EC2:VM:Platform String
    AWS:EC2:VM:PrivateDnsName String
    AWS:EC2:VM:PrivateIpAddress String
    AWS:EC2:VM:PublicDnsName String
    AWS:EC2:VM:PublicIPAddress String
    AWS:EC2:VM:SecurityGroups String
    AWS:EC2:VM:SubnetId String
    AWS:EC2:VM:Tags Map
    AWS:EC2:VM:UsageOperation String
    AWS:EC2:VM:VpcId String

    最小限の権限を持つ AWS プロファイル

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GenerateCredentialReport",
                "s3:GetEncryptionConfiguration",
                "ec2:DescribeInstances",
                "s3:ListBucketVersions",
                "ec2:DescribeRegions",
                "s3:ListBucket",
                "iam:GetCredentialReport"
            ],
            "Resource": "*"
        }
    ]
}

    Microsoft Azure 仮想マシンインスタンス

    クラウドコンフィグレーションガバナンス は次のアイテムを使用して、 Azure 仮想マシンインスタンス構成キーを収集します。

    • リソースコレクター:Azure VM ユーザーデータコレクター
    • 使用するクラウド API:Microsoft.ResourceGraph/resources
    • クラウド権限:Microsoft.ResourceGraph/resources
    表 : 6. Azure 仮想マシンインスタンス構成キー
    構成キー データタイプ
    Azure:VM:HardwareType String
    Azure:VM:NICID String
    Azure:VM:OSDiskCaching String
    Azure:VM:OSDiskCreateoption String
    Azure:VM:OSDiskDeleteoption String
    Azure:VM:OSDiskId String
    Azure:VM:OSDiskName String
    Azure:VM:OSDiskOSType String
    Azure:VM:OSDiskSizeGB String
    Azure:VM:OSProfileAllowExtensionOperations Boolean
    Azure:VM:OSProfileComputerName String
    Azure:VM:OSProfileLinuxConfigurationDisablePasswordAuthentication Boolean
    Azure:VM:OSProfileLinuxConfigurationPatchSettingsAssessmentMode String
    Azure:VM:OSProfileLinuxConfigurationPatchSettingsPatchMode String
    Azure:VM:OSProfileLinuxConfigurationProvisionVmAgent Boolean
    Azure:VM:OSProfileLinuxConfigurationSSHKeyData Map
    Azure:VM:OSProfileLinuxConfigurationSSHPath Map
    Azure:VM:OSProfileRequireGuestProvisionSignal Boolean
    Azure:VM:OSWindowsConfigurationEnableAutomaticUpdates Boolean
    Azure:VM:OSWindowsConfigurationPatchSettingsAssessmentMode String
    Azure:VM:OSWindowsConfigurationPatchSettingsEnableHotpatching Boolean
    Azure:VM:OSWindowsConfigurationPatchSettingsPatchMode String
    Azure:VM:OSWindowsConfigurationProvisionVMAgent Boolean
    Azure:VM:PowerState String
    Azure:VM:ProvisioningState String
    Azure:VM:ResourceGroup String
    Azure:VM:StorageProfileDataDisksCaching String
    Azure:VM:StorageProfileDataDisksCreateOption String
    Azure:VM:StorageProfileDataDisksDeleteOption String
    Azure:VM:StorageProfileDataDisksDetachOption String
    Azure:VM:StorageProfileDataDisksDiskIopsReadWrite String
    Azure:VM:StorageProfileDataDisksDiskMBpsReadWrite String
    Azure:VM:StorageProfileDataDisksDiskSizeGb Numeric
    Azure:VM:StorageProfileDataDisksImage String
    Azure:VM:StorageProfileDataDisksLun Numeric
    Azure:VM:StorageProfileDataDisksManagedDiskDiskEncryptionSet String
    Azure:VM:StorageProfileDataDisksManagedDiskId String
    Azure:VM:StorageProfileDataDisksManagedDiskResourceGroup String
    Azure:VM:StorageProfileDataDisksManagedDiskStorageAccountType String
    Azure:VM:StorageProfileDataDisksManagedStorageAccountType String
    Azure:VM:StorageProfileDataDisksName String
    Azure:VM:StorageProfileDataDisksToBeDetached Boolean
    Azure:VM:StorageProfileDataDisksVhd String
    Azure:VM:StorageProfileDataDisksWriteAcceleratorEnabled Boolean
    Azure:VM:StorageProfileImageReferenceExactVersion String
    Azure:VM:StorageProfileImageReferenceId String
    Azure:VM:StorageProfileImageReferenceOffer String
    Azure:VM:StorageProfileImageReferencePublisher String
    Azure:VM:StorageProfileImageReferenceSharedGalleryImageId String
    Azure:VM:StorageProfileImageReferenceSku String
    Azure:VM:StorageProfileImageReferenceVersion String
    Azure:VM:Tags Map
    Azure:VM:VMId String
    • リソースコレクター:Azure VM ユーザーデータコレクター
    • 構成コレクター:Azure VM メトリクスコレクター
    • 使用するクラウド API:Microsoft.ResourceGraph/resources
    • クラウド権限:Microsoft.ResourceGraph/resources
    表 : 7. Azure 仮想マシンインスタンス構成キー
    構成キー データタイプ
    Azure:VM:PublicIPAddress String
    Azure:VM:PublicIPId String
    • リソースコレクター:Azure VM ユーザーデータコレクター
    • 構成コレクター:Azure VM 監視メトリクスコレクター
    • 使用するクラウド API:Microsoft.Compute/virtualMachines/{vmName}/instanceView
    • クラウド権限:Microsoft.Compute/virtualMachines/{vmName}/instanceView
    表 : 8. Azure 仮想マシンインスタンス構成キー
    構成キー データタイプ
    Azure:VM:MonitoringState String
    注:
    scope=https://graph.microsoft.com/.default scope=https://management.azure.com/.default を使用して、Azure リソースの oAuth トークンをフェッチします。

    最小限の権限を持つ Azure プロファイル

    {
    "properties": {
        "roleName": "CCGAzureMinimalPermission",
        "description": "Grants access to scan compute resources from azure subscription",
        "assignableScopes": [
            "/subscriptions/${subscription_id}"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.ResourceGraph/resources/read",
                    "Microsoft.Compute/virtualMachines/instanceView/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}