このトピックでは、Assured Workloads の構成に使用できる Identity and Access Management(IAM)のロールについて説明します。ロールを使用して、リソースに対する認証された ID のアクセス権を制限します。該当する Google Cloud API、機能、リソースの操作に必要な権限のみを ID に付与します。
Assured Workloads 環境を作成するには、その権限を持つ以下のロールのいずれかと、Cloud Billing アクセス制御ロールが割り当てられている必要があります。アクティブな状態の有効な請求先アカウントを付与されていることも必要です。詳細については、Cloud Billing アクセス制御の概要をご覧ください。
必要なロール
以下は、Assured Workloads に必要な最小限のロールです。IAM ロールを使用してリソースへのアクセス権を付与、変更、取り消す方法については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。
- Assured Workloads 管理者: ワークロード環境の作成に使用します。
- Resource Manager 組織管理者: 組織に属するすべてのリソースを管理するアクセス権。
Assured Workloads のロール
以下では、Assured Workloads に関連付けられている IAM ロールと、gcloud コマンドライン ツールを使用してこれらのロールを付与する方法を示します。Cloud Console またはプログラムでこれらのロールを付与する方法については、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。
ORGANIZATION_ID プレースホルダは実際の組織 ID に置き換え、example@customer.org はユーザーのメールアドレスに置き換えます。組織 ID を取得するには、組織 ID の取得をご覧ください。
roles/assuredworkloads.admin
ワークロードの作成用。読み取りと書き込みのアクセスを許可します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.admin"
roles/assuredworkloads.editor
読み取りと書き込みのアクセスを許可します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.editor"
roles/assuredworkloads.reader
ワークロードを取得して一覧表示します。読み取り専用アクセスを許可します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.reader"
カスタムの役割
指定した権限を一括で含めるために独自の役割を定義する場合は、カスタムロールを使用します。
Assured Workloads IAM のベスト プラクティス
Google Cloud セキュリティのベスト プラクティスは、最小限の権限を満たすように IAM ロールを適切に保護することです。この原則では、ユーザーが自分の役割に必要なプロダクト、サービス、アプリケーションにのみアクセスできるようにする必要があります。ユーザーは、Assured Workloads 環境の外部にプロダクトとサービスをデプロイするときに、Assured Workloads プロジェクトで対象範囲外のサービスを使用することが制限されていません。
コンプライアンス レジーム別の対象プロダクトのリストは、セキュリティ 管理者が、内部ロール Assured Workloads 環境でプロダクトをスコープ設定します。カスタムロールを使用すると、Assured Workloads 環境内でのコンプライアンスの取得とメンテナンスをサポートできます。