メインコンテンツへスキップ
GCPプロジェクトを接続して、CloudThinkerエージェントがコスト分析、リソース最適化、セキュリティ監査、Google Cloudサービス全体のインフラ管理を実行できるようにします。 GCPの認証はサービスアカウントキー(JSONファイル)で行います。サービスアカウントのIAMロールが各エージェントのアクセス範囲を決定します。

前提条件

  • IAM管理者アクセス権を持つGCPプロジェクト。
  • プロジェクト内でサービスアカウントを作成しIAMロールを割り当てる権限。
  • ブラウザでGoogle Cloud Consoleへのアクセス。
ビューアーレベルのサービスアカウントで、コスト分析、セキュリティ監査、リソース検査が可能です。書き込み機能が必要な場合にのみロールを拡張してください。

セットアップ

1

サービスアカウントを作成

Google Cloud Consoleでプロジェクトを選択し、IAM & Admin → Service accounts に移動します。Create Service Account をクリックして次の情報を入力します:
  • 名前cloudthinker-readonly
  • 説明:CloudThinker監視用の読み取り専用アクセス
2

ロールを割り当て

必要なビューアーロールを付与します:
  • Viewer(基本的な読み取りアクセス)
  • Monitoring Viewer(監視データ用)
  • Security Reviewer(セキュリティ分析用)
3

JSONキーを生成

リストから作成したサービスアカウントをクリックし、Keys タブ → Add keyCreate new key に移動します。JSON 形式を選択して Create をクリックします。キーファイルをダウンロードして安全に保管してください。
4

CloudThinkerに接続を追加

Connections → GCP に移動してJSONキーファイルをアップロード(またはその内容を貼り付け)します。Connect をクリックします。CloudThinkerが認証情報を確認し、Connected ステータスに変わります。
JSONキーファイルは安全に保管してください。バージョン管理システムにコミットしたり、公開したりしないでください。

マルチプロジェクトのセットアップ

複数のGCPプロジェクトを持つ組織向け:
1

組織レベルのアクセスを付与

サービスアカウントに組織またはフォルダレベルでロールを付与し、すべてのターゲットプロジェクトにアクセスできるようにします。
2

請求アカウントのアクセスを追加

クロスプロジェクトのコスト分析のために Billing Account Viewer を追加します。
3

プロジェクトを追加

接続後、CloudThinkerはアクセス可能なプロジェクトを自動的に検出します。

接続詳細

フィールド説明
サービスアカウントキー(JSON)接続ダイアログにアップロードまたは貼り付けるGCPサービスアカウントキーのJSON全体{"type": "service_account", "project_id": "your-project-id", ...}
キーファイルには次の構造が含まれます:
{
  "type": "service_account",
  "project_id": "your-project-id",
  "private_key_id": "key-id",
  "private_key": "-----BEGIN PRIVATE KEY-----\n...\n-----END PRIVATE KEY-----\n",
  "client_email": "cloudthinker-readonly@your-project.iam.gserviceaccount.com",
  "client_id": "123456789012345678901",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token"
}

必要な権限

最小(読み取り専用分析)

roles/viewer                    # Basic read access
roles/monitoring.viewer         # Cloud Monitoring access
roles/logging.viewer            # Cloud Logging access

推奨(完全分析)

# All of the above, plus:
roles/compute.viewer            # Compute Engine details
roles/container.viewer          # GKE cluster access
roles/cloudsql.viewer           # Cloud SQL access
roles/bigquery.dataViewer       # BigQuery analysis
roles/billing.viewer            # Billing and cost data
roles/securitycenter.viewer     # Security Command Center
最小ロールから始め、必要に応じて追加します。プロジェクトレベルのビューアーロールで、コスト分析とほとんどのセキュリティ監査が可能です。

エージェントの機能

接続後、エージェントはGCPリソースの分析と最適化を実行できます。
エージェントGCPの機能
Alexコスト分析、VMの適正サイズ調整、コミット使用量の推奨、リソース最適化
OliverSecurity Command Centerのファインディング、IAM監査、コンプライアンスチェック
TonyCloud SQLパフォーマンス、BigQuery最適化、Spannerチューニング
KaiGKEクラスター管理、ワークロード最適化、Autopilot分析

接続を確認する

@alex run a GCP account check and list connected projects and active services

プロンプト例

@alex analyze Compute Engine costs over the last 30 days and #recommend right-sizing opportunities
@oliver audit GCP IAM bindings and flag any over-permissioned service accounts
@kai inspect GKE cluster health and #report any pod failures or resource pressure

トラブルシューティング

サービスアカウントに必要なロールがあることを確認します。プロジェクトレベルのIAMバインディングを確認し、APIが有効になっていること(Compute、Monitoringなど)、JSONキーが有効で期限切れでないことを確認してください。
JSONファイルが完全で適切にフォーマットされていることを確認します。秘密鍵が切り詰められていないこと、余分な空白や文字が追加されていないことを確認してください。GCPコンソールからキーを再生成してみてください。
Billing Account Viewer ロールが割り当てられていることを確認します。Cloud Billing APIを有効にし、BigQueryへの請求エクスポートが設定されていることを確認してください。
Kubernetes Engine Viewer ロールが割り当てられていることを確認します。クラスターがアクセス可能なプロジェクトにあることを確認し、クラスターがWorkload Identityを使用しているかどうかを確認してください。

セキュリティ

  • 最小権限 — エージェントがユースケースに必要な権限のみを付与します。まず読み取り専用から始め、後から拡張してください。
  • デフォルトで読み取り専用 — エージェントにこの接続で変更を行わせる場合を除き、読み取り専用の認証情報を使用してください。
  • 認証情報のローテーション — 通常のスケジュールに従ってキーとトークンをローテーションしてください。接続を更新すると、CloudThinker が新しい値を自動的に取得します。
  • オフボーディング時に失効 — 接続を削除するか、チームメンバーが退職する際には、プロバイダー側で認証情報を無効化してください。
  • プロジェクトスコープ — サービスアカウントのIAMロールを、CloudThinkerがアクセスする必要があるGCPプロジェクトのみに制限します。
  • キーの保管 — サービスアカウントJSONをシークレットマネージャーに保管し、CloudThinkerへのアップロード後はローカルのコピーを削除します。

関連

https://mintcdn.com/cloudthinker/aLd-ttc-SCW-aFky/images/icons/aws.svg?fit=max&auto=format&n=aLd-ttc-SCW-aFky&q=85&s=45d526a3e9345214c0345f277da2e829

AWS接続

Amazon Web Servicesを接続

Kaiエージェント

GKE向けKubernetesエージェント