IAM を使用したアクセス制御

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このページでは、Access Context Manager の構成に必要な Identity and Access Management(IAM)のロールについて説明します。

必要な役割

次の表に、アクセス ポリシーの作成と一覧表示に必要な権限とロールを示します。

アクション 必要な権限とロール
組織レベルのアクセス ポリシーまたはスコープ ポリシーを作成する

権限: accesscontextmanager.policies.create

権限を提供するロール: Access Context Manager 編集者のロール(roles/accesscontextmanager.policyEditor

組織レベルのアクセス ポリシーまたはスコープ ポリシーを一覧表示する

権限: accesscontextmanager.policies.list

権限を提供するロール: Access Context Manager 編集者のロール(roles/accesscontextmanager.policyEditor

Access Context Manager 読み取りのロール(roles/accesscontextmanager.policyReader

組織レベルでのこれらの権限がある場合は、スコープ ポリシーの作成、一覧表示、委任を行うことができます。スコープ ポリシーを作成したら、スコープ ポリシーに対する IAM バインディングを追加することで、ポリシーを管理する権限を付与できます。

組織レベルで付与された権限は、組織レベルのポリシーやスコープ ポリシーを含むすべてのアクセス ポリシーに適用されます。

次の厳選された IAM ロールは、アクセスレベルを表示または構成するために必要なアクセス許可を提供するか、gcloud コマンドライン ツールを使用してスコープ ポリシーの委任された管理者にアクセス許可を付与します。

  • Access Context Manager 管理者: roles/accesscontextmanager.policyAdmin
  • Access Context Manager 編集者: roles/accesscontextmanager.policyEditor
  • Access Context Manager 読者: roles/accesscontextmanager.policyReader

さらに、ユーザーが Google Cloud コンソールを使用して Access Context Manager を管理できるようにするには、Resource Manager 組織閲覧者(roles/resourcemanager.organizationViewer)のロールが必要です。

これらのロールのいずれかを付与するには、Google Cloud コンソールを使用するgcloud コマンドライン ツールを使用します。

管理者に読み取り / 書き込みアクセスを許可する

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

編集者に読み取り / 書き込みアクセスを許可する

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

閲覧者に読み取り専用アクセスを許可する

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

Google Cloud コンソールを使用して、組織閲覧者で VPC Service Controls へのアクセスを許可する

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"

次のステップ