IAM ロール

このページでは、Assured Workloads の構成に使用できる Identity and Access Management(IAM)のロールについて説明します。ロールを使用して、リソースに対するプリンシパルのアクセス権を制限します。該当する Google Cloud API、機能、リソースの操作に必要な権限のみをプリンシパルに付与します。

Assured Workloads フォルダを作成するには、その権限を持つ以下のロールのいずれかと、Cloud Billing のアクセス制御ロールが割り当てられている必要があります。また、アクティブで有効な請求先アカウントも必要です。詳細については、Cloud Billing アクセス制御の概要をご覧ください。

必要なロール

Assured Workloads に関連する最小限必要なロールは次のとおりです。IAM ロールを使用してリソースへのアクセス権を付与、変更、取り消す方法については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。

  • Assured Workloads 管理者(roles/assuredworkloads.admin): Assured Workloads フォルダの作成と削除用。
  • Resource Manager 組織閲覧者(roles/resourcemanager.organizationViewer): 組織に属するすべてのリソースを表示するためのアクセス権。

Assured Workloads のロール

以下に、Assured Workloads に関連付けられている IAM ロールと、Google Cloud CLI を使用してこれらのロールを付与する方法を示します。Google Cloud コンソールまたはプログラムでこれらのロールを付与する方法については、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。

ORGANIZATION_ID プレースホルダは実際の組織 ID に、example@customer.org はユーザーのメールアドレスに置き換えます。組織 ID を取得するには、組織 ID の取得をご覧ください。

roles/assuredworkloads.admin

Assured Workloads フォルダの作成と削除用。読み取りと書き込みのアクセスを許可します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

roles/assuredworkloads.editor

読み取りと書き込みのアクセスを許可します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

roles/assuredworkloads.reader

Assured Workloads フォルダの取得と一覧表示用。読み取り専用アクセスを許可します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

カスタムロール

指定した権限を一括で含めるために独自の役割を定義する場合は、カスタムロールを使用します。

Assured Workloads IAM のベスト プラクティス

最小権限に従うように IAM ロールを適切に保護することは、Google Cloud セキュリティのベスト プラクティスです。この原則では、ユーザーが自分のロールに必要なプロダクト、サービス、アプリケーションにのみアクセスできるようにする必要がるというルールに従います。現在、ユーザーは、Assured Workloads フォルダの外部にプロダクトとサービスをデプロイするときに、Assured Workloads プロジェクトで対象外のサービスを使用することが制限されていません。

コンプライアンス プログラム別の対象範囲内のプロダクトのリストは、セキュリティ管理者が、ユーザー アクセスを Assured Workloads フォルダ内の対象範囲のプロダクトに制限するカスタムロールを作成する場合に役立ちます。カスタムロールを使用すると、Assured Workloads フォルダ内でコンプライアンスを取得して維持できます。