IAM ロール
このページでは、Assured Workloads の構成に使用できる Identity and Access Management(IAM)のロールについて説明します。ロールを使用して、リソースに対するプリンシパルのアクセス権を制限します。該当する Google Cloud API、機能、リソースの操作に必要な権限のみをプリンシパルに付与します。
Assured Workloads フォルダを作成するには、その権限を持つ以下のロールのいずれかと、Cloud Billing のアクセス制御ロールが割り当てられている必要があります。また、アクティブで有効な請求先アカウントも必要です。詳細については、Cloud Billing アクセス制御の概要をご覧ください。
必要なロール
Assured Workloads に関連する最小限必要なロールは次のとおりです。IAM ロールを使用してリソースへのアクセス権を付与、変更、取り消す方法については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。
- Assured Workloads 管理者(
roles/assuredworkloads.admin
): Assured Workloads フォルダの作成と削除用。 - Resource Manager 組織閲覧者(
roles/resourcemanager.organizationViewer
): 組織に属するすべてのリソースを表示するためのアクセス権。
Assured Workloads のロール
以下に、Assured Workloads に関連付けられている IAM ロールと、Google Cloud CLI を使用してこれらのロールを付与する方法を示します。Google Cloud コンソールまたはプログラムでこれらのロールを付与する方法については、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。
ORGANIZATION_ID プレースホルダは実際の組織 ID に、example@customer.org
はユーザーのメールアドレスに置き換えます。組織 ID を取得するには、組織 ID の取得をご覧ください。
roles/assuredworkloads.admin
Assured Workloads フォルダの作成と削除用。読み取りと書き込みのアクセスを許可します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.admin"
roles/assuredworkloads.editor
読み取りと書き込みのアクセスを許可します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.editor"
roles/assuredworkloads.reader
Assured Workloads フォルダの取得と一覧表示用。読み取り専用アクセスを許可します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.reader"
カスタムロール
指定した権限を一括で含めるために独自の役割を定義する場合は、カスタムロールを使用します。
Assured Workloads IAM のベスト プラクティス
最小権限に従うように IAM ロールを適切に保護することは、Google Cloud セキュリティのベスト プラクティスです。この原則では、ユーザーが自分のロールに必要なプロダクト、サービス、アプリケーションにのみアクセスできるようにする必要がるというルールに従います。現在、ユーザーは、Assured Workloads フォルダの外部にプロダクトとサービスをデプロイするときに、Assured Workloads プロジェクトで対象外のサービスを使用することが制限されていません。
コンプライアンス プログラム別の対象範囲内のプロダクトのリストは、セキュリティ管理者が、ユーザー アクセスを Assured Workloads フォルダ内の対象範囲のプロダクトに制限するカスタムロールを作成する場合に役立ちます。カスタムロールを使用すると、Assured Workloads フォルダ内でコンプライアンスを取得して維持できます。