コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

IAM ロール

このトピックでは、Assured Workloads の構成に使用できる Identity and Access Management(IAM)のロールについて説明します。ロールは、プリンシパルがリソースにアクセスする能力を制限します。該当する Google Cloud API、機能、リソースの操作に必要な権限のみを ID に付与します。

Assured Workloads 環境を作成するには、その権限を持つ以下のロールのいずれかと、Cloud Billing アクセス制御ロールが割り当てられている必要があります。また、有効な請求先アカウントが必要です。詳細については、Cloud Billing アクセス制御の概要をご覧ください。

必要なロール

以下は、Assured Workloads に必要な最小限のロールです。IAM ロールを使用してリソースへのアクセス権を付与、変更、取り消す方法については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。

  • Assured Workloads 管理者(roles/assuredworkloads.admin): ワークロード環境を作成および削除するために使用します。
  • Resource Manager 組織閲覧者(roles/resourcemanager.organizationViewer): 組織に属するすべてのリソースを表示するためのアクセス権。

Assured Workloads のロール

Assured Workloads に関連付けられている IAM のロールと、Google Cloud CLI を使用してこれらのロールを付与する方法については、以下をご覧ください。Google Cloud コンソールまたはプログラムでこれらのロールを付与する方法については、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。

ORGANIZATION_ID プレースホルダは実際の組織 ID に置き換え、example@customer.org はユーザーのメールアドレスに置き換えます。組織 ID を取得するには、組織 ID の取得をご覧ください。

roles/assuredworkloads.admin

ワークロードの作成と削除に使用します。読み取りと書き込みのアクセスを許可します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

roles/assuredworkloads.editor

読み取りと書き込みのアクセスを許可します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

roles/assuredworkloads.reader

ワークロードを取得して一覧表示します。読み取り専用アクセスを許可します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

カスタムの役割

指定した権限を一括で含めるために独自の役割を定義する場合は、カスタムロールを使用します。

Assured Workloads IAM のベスト プラクティス

Google Cloud セキュリティのベスト プラクティスは、最小限の権限を満たすように IAM ロールを適切に保護することです。この原則では、ユーザーが自分のロールに必要なプロダクト、サービス、アプリケーションにのみアクセスできるようにする必要があります。ユーザーは、Assured Workloads 環境の外部にプロダクトとサービスをデプロイするときに、Assured Workloads プロジェクトで対象範囲外のサービスを使用することが制限されていません。

コンプライアンス レジーム別の対象範囲内のプロダクトのリストは、セキュリティ管理者を対象に、ユーザー アクセスをAssured Workloads 環境内の対象範囲のプロダクトに制限するカスタムロールを作成する場合に役立ちます。カスタムロールを使用すると、Assured Workloads 環境内でのコンプライアンスの取得とメンテナンスをサポートできます。