IAM を使用したアクセス制御

このページでは、アクセス承認の使用に必要な Identity and Access Management(IAM)のロールについて説明します。

必要なロール

以下の各セクションでは、アクセス承認を使用してさまざまなアクションを実行するために必要な IAM ロールと権限について説明します。また、必要なロールの付与方法についても説明します。

アクセス承認リクエストと構成を表示する

次の表に、アクセス承認リクエストと構成を表示するために必要な IAM 権限を示します。

IAM の事前定義ロール 必要な権限と役割
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

アクセス承認閲覧者(roles/accessapproval.viewer)のロールを付与するには、次のようにします。

Console

この IAM ロールを自分自身に付与するには、次のようにします。

  1. Google Cloud コンソールで [IAM] ページに移動します。

    IAM に移動

  2. [プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
  3. 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
  4. [ロールを選択] フィールドをクリックし、メニューから [Access Approval 承認者] ロールを選択します。
  5. [保存] をクリックします。

gcloud

次のコマンドを実行します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

次のように置き換えます。

  • ORGANIZATION_ID: 組織 ID。
  • EMAIL_ID: ユーザーのメール ID。

このコマンドの詳細については、gcloud organizations add-iam-policy-binding をご覧ください。

アクセス承認リクエストを表示して承認する

次の表に、アクセス承認のリクエストを表示して承認するために必要な IAM 権限を示します。

IAM の事前定義ロール 必要な権限と役割
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

アクセス承認者(roles/accessapproval.approver)のロールを付与するには、次のようにします。

Console

この IAM ロールを自分自身に付与するには、次のようにします。

  1. Google Cloud コンソールで [IAM] ページに移動します。

    IAM に移動

  2. [プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
  3. 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
  4. [ロールを選択] フィールドをクリックし、メニューから [アクセス承認者] ロールを選択します。
  5. [保存] をクリックします。

gcloud

次のコマンドを実行します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

次のように置き換えます。

  • ORGANIZATION_ID: 組織 ID。
  • EMAIL_ID: ユーザーのメール ID。

アクセス承認の構成を更新する

次の表に、アクセス承認の構成を更新するために必要な IAM 権限を示します。

IAM の事前定義ロール 必要な権限と役割
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

アクセス承認構成編集者(roles/accessapproval.configEditor)のロールを付与するには、次のようにします。

Console

この IAM ロールを自分自身に付与するには、次のようにします。

  1. Google Cloud コンソールで [IAM] ページに移動します。

    IAM に移動

  2. [プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
  3. 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
  4. [ロールを選択] フィールドをクリックし、メニューから [Access Approval Config 編集者] ロールを選択します。
  5. [保存] をクリックします。

gcloud

次のコマンドを実行します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

次のように置き換えます。

  • ORGANIZATION_ID: 組織 ID。
  • EMAIL_ID: ユーザーのメール ID。

既存のアクセス承認リクエストを無効にする

次の表に、承認された既存のアクセス承認のリクエストを無効にするために必要な IAM 権限を示します。

IAM の事前定義ロール 必要な権限と役割
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Approval 無効者(roles/accessapproval.invalidator)のロールを付与するには、次のようにします。

Console

この IAM ロールを自分自身に付与するには、次のようにします。

  1. Google Cloud コンソールで [IAM] ページに移動します。

    IAM に移動

  2. [プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
  3. 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
  4. [ロールを選択] フィールドをクリックし、メニューから [Access Approval 無効者] ロールを選択します。
  5. [保存] をクリックします。

gcloud

次のコマンドを実行します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

次のように置き換えます。

  • ORGANIZATION_ID: 組織 ID。
  • EMAIL_ID: ユーザーのメール ID。

次のステップ