Azure
Shisho Cloud と Azure を連携することで、Entra ID テナント及び Azure サブスクリプションのセキュリティスキャンが実施できます。 この連携は以下の 5 ステップで行えます:
- 対象の Entra ID に Shisho Cloud が利用できる App Registration を作成する。
- API の許可を追加する。
- 関連する Federated Credential を作成する。
- 登録した App Registration に、Azure のサブスクリプションの権限を付与する。
- 作成した App Registration 等の情報を Shisho Cloud に登録する。
info
Shisho Cloud は Azure アプリケーションの静的なキーを使用しません。 その代わりに、Federated Credentials により、短命の認証情報を適宜発行しながら Azure にアクセスします。
App Registration の作成
以下の手順を実行してください。
- Azure Portal 内「Microsoft Entra ID」 を開く。
- アプリの登録 をクリックする。
- 新規登録 をクリックする。
- 任意のアプリケーション名(例:
shisho-cloud
)を入力する。 - サポートされているアカウントの種類 に この組織ディレクトリのみに含まれるアカウント を選択する。
- 「登録」をクリックする。
API の許可
以下の手順を実行してください。
- 作成したアプリケーションのページで、API の許可 をクリックする。
- アクセス許可の追加 から、以下の要領で API の許可を追加する。
- アクセス許可の種類: アプリケーションの許可
- アクセス許可する API(Microsoft Graph)
Directory.Read.All
Group.Read.All
Policy.Read.All
User.Read.All
- (テナント名)に管理者の同意を与えます を押下し、API 利用に管理者として同意を与える。
- 上述の各 API の状態が 承認済み になっていることを確認する。
Federated Credential の作成
以下の手順を実行してください。
- 作成したアプリケーションのページで、証明書とシークレット をクリックする。
- フェデレーション資格情報 をクリックする。
- 資格情報の追加 をクリックする。
- フェデレーション資格情報のシナリオ に その他の発行者 を選択する。
- 以下の要領で資格情報を作成する。
- 発行者:
https://tokens.cloud.shisho.dev
- Type: Explicit subject identifier
- 値:
job:<Shisho Cloud 組織名>:default
(例:job:your-organization-id:default
) - 名前: 任意(例:
shisho-cloud
) - 説明: 任意
- 発行者:
- 作成した資格情報を選択する。
- 資格情報の追加 をクリックする。
サブスクリプションへの権限の付与
Shisho Cloud で検査したいサブスクリプションや、それを含むリソースグループ、管理グループ等に対して、以下のロールを割り当ててください。
- セキュリティ閲覧者
割当方法は Azure 公式ドキュメント で確認できます。
Shisho Cloud は、自身がアプリケーションを通して閲覧できる全てのサブスクリプションに対して、設定データの取得・評価を実行します。
連携の登録
「歯車マーク ⚙ > 連携(Integrations)」画面に表示されているカード「Azure」の「設定」ボタンを押下し、画面の指示に従いながら情報を入力してください。
必要な情報は作成したアプリケーションのページ内に表示されています。