GCPアカウントに必要な権限
サービスアカウントID eset-cwpp-service-account(表示名: ESET CWPP Service Account、メール形式: eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com)は、GCPオンボーディングフロー中に自動的に作成されます。顧客のGCP組織または選択したプロジェクトに対する読み取り/管理権限があるため、CWPはクラウドリソースを検出して検査できます。
ロールの割り当て
IAMロール |
組織レベル |
プロジェクトレベル |
目的/必要とする理由 |
|---|---|---|---|
roles/resourcemanager.organizationViewer |
はい |
いいえ |
組織リソースの読み取り専用ビュー。組織スコープで組織のメタデータと階層を取得するために必要です。 |
roles/resourcemanager.folderViewer |
はい |
いいえ |
組織内のフォルダーの読み取り専用ビュー。組織全体のプロジェクトを検出するときにフォルダー階層を通過するために必要です。 |
roles/cloudasset.viewer |
はい |
はい |
Cloud Asset Inventoryへの読み取り専用アクセス。すべてのGCPリソース(VM、プロジェクト)を一覧表示して検出するために必要です。 |
roles/compute.instanceAdmin.v1 |
はい |
はい |
Compute Engineインスタンスのフルコントロール。以下を行うために必要です。 •組織内のすべてのプロジェクトのVMインスタンスを一覧表示します。 •インベントリのインスタンスとマシンタイプの詳細を取得します。 •ESETライブインストーラーの展開中にVMインスタンスの「cwpp-li-<hash>」ラベルを追加/削除します。ラベルは、特定のVMを対象とするOSポリシー割り当てインスタンスフィルターとして使用され、インストールの完了後に削除されます。 |
roles/logging.viewer |
はい |
はい |
Cloud Logging (監査ログ)への読み取り専用アクセス。監査ログエントリを収集して読み取るために必要です。 |
roles/osconfig.osPolicyAssignmentAdmin |
はい |
はい |
OSポリシー割り当てを作成、更新および削除します。VMでのESET保護インストールをオーケストレーションするOSポリシー割り当てを展開および管理するために必要です。 |
roles/osconfig.osPolicyAssignmentReportViewer |
はい |
はい |
OSポリシー割り当てのコンプライアンスレポートの読み取り。展開されたOSポリシーのコンプライアンス/ステータスを確認するために必要です。 |
roles/osconfig.inventoryViewer |
はい |
はい |
VM Managerによって収集されたOSインベントリデータの読み取り。VM OS (名前、バージョン)、詳細、および展開の準備状況を判断するために必要です。 |