IAM を使用したアクセス制御

このページでは、Access Approval の使用に必要な Identity and Access Management(IAM)のロールについて説明します。

必要なロール

以下のセクションでは、Access Approval でさまざまなアクションを実行するために必要な IAM のロールと権限について説明します。また、必要なロールを付与する方法についても説明します。

Access Approval のリクエストと構成を表示する

次の表は、Access Approval のリクエストと構成を表示するために必要な IAM の権限を示しています。

IAM の事前定義ロール 必要な権限と役割
roles/accessapproval.viewer
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Approval 閲覧者(roles/accessapproval.viewer)のロールを付与するには、次のようにします。

コンソール

この IAM ロールを自分自身に付与するには、次のようにします。

  1. Google Cloud コンソールで [IAM] ページに移動します。

    IAM に移動

  2. [プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
  3. 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
  4. [ロールを選択] フィールドをクリックし、メニューから [Access Approval 承認者] ロールを選択します。
  5. [保存] をクリックします。

gcloud

次のコマンドを実行します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.viewer'

次のように置き換えます。

  • ORGANIZATION_ID: 組織 ID。
  • EMAIL_ID: ユーザーのメールアドレス。

このコマンドの詳細については、gcloud organizations add-iam-policy-binding をご覧ください。

Access Approval のリクエストを表示して承認する

次の表は、Access Approval のリクエストを表示して承認するために必要な IAM の権限を示しています。

IAM の事前定義ロール 必要な権限と役割
roles/accessapproval.approver
  • accessapproval.requests.approve
  • accessapproval.requests.dismiss
  • accessapproval.requests.get
  • accessapproval.requests.invalidate
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Approval 承認者(roles/accessapproval.approver)ロールを付与するには、次のようにします。

コンソール

この IAM ロールを自分自身に付与するには、次のようにします。

  1. Google Cloud コンソールで [IAM] ページに移動します。

    IAM に移動

  2. [プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
  3. 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
  4. [ロールを選択] フィールドをクリックし、メニューから [アクセス承認者] ロールを選択します。
  5. [保存] をクリックします。

gcloud

次のコマンドを実行します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

次のように置き換えます。

  • ORGANIZATION_ID: 組織 ID。
  • EMAIL_ID: ユーザーのメールアドレス。

Access Approval の構成を更新する

次の表は、Access Approval の構成の更新に必要な IAM 権限を示しています。

IAM の事前定義ロール 必要な権限と役割
roles/accessapproval.configEditor
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.delete
  • accessapproval.settings.get
  • accessapproval.settings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Approval Config 編集者(roles/accessapproval.configEditor)のロールを付与するには、次のようにします。

コンソール

この IAM ロールを自分自身に付与するには、次のようにします。

  1. Google Cloud コンソールで [IAM] ページに移動します。

    IAM に移動

  2. [プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
  3. 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
  4. [ロールを選択] フィールドをクリックし、メニューから [Access Approval Config 編集者] ロールを選択します。
  5. [保存] をクリックします。

gcloud

次のコマンドを実行します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.approver'

次のように置き換えます。

  • ORGANIZATION_ID: 組織 ID。
  • EMAIL_ID: ユーザーのメールアドレス。

Access Approval のリクエストを無効にする

次の表に、承認された既存の Access Approval のリクエストを無効にするために必要な IAM の権限を示します。

IAM の事前定義ロール 必要な権限と役割
roles/accessapproval.invalidator
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.serviceAccounts.get
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Approval 無効者(roles/accessapproval.invalidator)のロールを付与するには、次のようにします。

コンソール

この IAM ロールを自分自身に付与するには、次のようにします。

  1. Google Cloud コンソールで [IAM] ページに移動します。

    IAM に移動

  2. [プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
  3. 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
  4. [ロールを選択] フィールドをクリックし、メニューから [Access Approval 無効者] ロールを選択します。
  5. [保存] をクリックします。

gcloud

次のコマンドを実行します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member='user:EMAIL_ID' \
  --role='roles/accessapproval.invalidator'

次のように置き換えます。

  • ORGANIZATION_ID: 組織 ID。
  • EMAIL_ID: ユーザーのメールアドレス。

次のステップ