icon-zwp.svg
Posture Control (ZPC)

クラウド アカウントの管理

クラウド展開インフラストラクチャーは、ビジネス ニーズに合わせて時間の経過と共に変更される可能性があります。次の場合があります。

  • 別の目的を果たすクラウド アカウントのビジネス ユニットを変更する場合。
  • クラウド アカウントを削除したか、ZPCが特定のクラウド アカウントの設定メタデータをスキャンしないようにしました。
  • クラウド展開環境内のKubernetesクラスターを削除しました。

このような変更には、Zscaler Posture Control管理ポータルで対処できます。

複数のクラウド アカウントのビジネス ユニットの変更

複数のクラウドアカウントのビジネスユニットを変更する手順は次の通りです。

  1. [管理]>[クラウド アカウント]に移動し、[アカウント]タブをクリックします。
  2. 管理するクラウド アカウントのチェックボックスをオンにします。

  1. [アクション]のドロップダウン メニューをクリックし、[ビジネス ユニットの変更]をクリックします。
  2. クラウド アカウントを移動するビジネス ユニットをドロップダウン メニューから選択します。
  3. [結果を理解し、続行する]のチェックボックスをオンにします。

  1. [適用]をクリックする。

クラウド アカウントのオフボーディング

ZPCからクラウドアカウントをオフボードする手順は次の通りです。

  1. [管理]>[クラウド アカウント]に移動し、[アカウント]タブをクリックします。
  2. オフボードするクラウドアカウントの[アクション]のドロップダウン メニューをクリックし、[アカウントの削除]ボタンをクリックします。

  1. [結果を理解し、続行する]のチェックボックスをオンにします。
  2. [削除]をクリックします。

組織の削除

組織と組織内のすべてのアカウントを削除することもできます。組織を削除する手順は次の通りです。

  1. [管理]>[クラウド アカウント]に移動し、[組織]タブをクリックします。
  2. オフボードする組織の[アクション]のドロップダウン メニューをクリックし、[組織の削除]ボタンをクリックします。

  1. [結果を理解し、続行する]のチェックボックスをオンにします。
  2. [削除]をクリックします。

Kubernetesクラスターのオフボーディング

クラウド サービス プロバイダーからKubernetesクラスターを削除し、ZPCがクラスターの構成メタデータをスキャンしないようにすることができます。Kubernetesクラスターをオフボードする手順は次の通りです。

  1. [管理]>[クラウド アカウント]の順にアクセスします。
  2. [Kubernetes]を選択します。

  1. [アクション]列で、削除するクラスターの[削除]アイコンをクリックします。
  2. 確認ポップアップで、[削除]をクリックします。

複数のクラスターを削除する場合、次の操作を行います。

  1. 削除するクラスターを選択し、[アクション]>[削除]をクリックします。

  1. 確認ポップアップで、[削除]をクリックします。

Kubernetesクラスターをオフボードした後、クラウド サービス プロバイダーに対してZPCが持つ追加の許可を削除する必要があります。

  • AWSマネジメント コンソールで、AWS CloudShellで次のコマンドを実行します。

    • eksctl delete iamidentitymapping --arn <zscalerRoleARN>
    • kubectl delete clusterrolebindings zpc-reader
    • kubectl delete clusterrole zpc-read-role

    EKSクラスターがハイブリッドの場合(つまり、クラスター タイプがプライベートとパブリックの場合)、許可リストに配置されている次のZPC IPアドレスを削除する必要があります。

    • 52.13.162.179/3
    • 52.12.66.25/32
    • 34.212.243.119/32
    閉じる

  • Microsoft Azureポータルで、Azure PowerShellで次のコマンドを実行します。

    • Azure Kubernetesサービス クラスターのユーザー ロールを削除します。 
              az role assignment delete --assignee “<service-principal-id>” --role “Azure Kubernetes Service Cluster User Role” --scope "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ContainerService/ManagedClusters/<cluster>"
    • ZPCのクラスター ロールのバインディングを削除します。 
          kubectl delete clusterrolebindings zpc-reader-"<$servicePrincipalObjectId>"
      次のコマンドを実行して、サービス プリンシパル オブジェクトIDを取得します。 
          az ad sp show --id <ZPC-Service-Principal-Id> --query id --out tsv"
    閉じる

  • オフボードしたGKEクラスターでコントロール プレーンで認可されたネットワークが有効になっている場合は、許可リストに登録されている次のZPC IPアドレスを削除する必要があります。

    • 52.13.162.179/3
    • 52.12.66.25/32
    • 34.212.243.119/32
    閉じる
関連記事s
クラウドアカウントについてクラウド アカウントの脆弱性スキャンの設定クラウド アカウントの管理