IAM ロール
このトピックでは、Assured Workloads の構成に使用できる Identity and Access Management(IAM)のロールについて説明します。ロールは、プリンシパルがリソースにアクセスする能力を制限します。該当する Google Cloud API、機能、リソースの操作に必要な権限のみを ID に付与します。
Assured Workloads 環境を作成するには、その権限を持つ以下のロールのいずれかと、Cloud Billing アクセス制御ロールが割り当てられている必要があります。また、有効な請求先アカウントが必要です。詳細については、Cloud Billing アクセス制御の概要をご覧ください。
必要なロール
以下は、Assured Workloads に必要な最小限のロールです。IAM ロールを使用してリソースへのアクセス権を付与、変更、取り消す方法については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。
- Assured Workloads 管理者(
roles/assuredworkloads.admin
): ワークロード環境を作成および削除するために使用します。 - Resource Manager 組織閲覧者(
roles/resourcemanager.organizationViewer
): 組織に属するすべてのリソースを表示するためのアクセス権。
Assured Workloads のロール
Assured Workloads に関連付けられている IAM のロールと、Google Cloud CLI を使用してこれらのロールを付与する方法については、以下をご覧ください。Google Cloud コンソールまたはプログラムでこれらのロールを付与する方法については、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。
ORGANIZATION_ID プレースホルダは実際の組織 ID に置き換え、example@customer.org
はユーザーのメールアドレスに置き換えます。組織 ID を取得するには、組織 ID の取得をご覧ください。
roles/assuredworkloads.admin
ワークロードの作成と削除に使用します。読み取りと書き込みのアクセスを許可します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.admin"
roles/assuredworkloads.editor
読み取りと書き込みのアクセスを許可します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.editor"
roles/assuredworkloads.reader
ワークロードを取得して一覧表示します。読み取り専用アクセスを許可します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.reader"
カスタムの役割
指定した権限を一括で含めるために独自の役割を定義する場合は、カスタムロールを使用します。
Assured Workloads IAM のベスト プラクティス
Google Cloud セキュリティのベスト プラクティスは、最小限の権限を満たすように IAM ロールを適切に保護することです。この原則では、ユーザーが自分のロールに必要なプロダクト、サービス、アプリケーションにのみアクセスできるようにする必要があります。ユーザーは、Assured Workloads 環境の外部にプロダクトとサービスをデプロイするときに、Assured Workloads プロジェクトで対象範囲外のサービスを使用することが制限されていません。
コンプライアンス レジーム別の対象範囲内のプロダクトのリストは、セキュリティ管理者を対象に、ユーザー アクセスをAssured Workloads 環境内の対象範囲のプロダクトに制限するカスタムロールを作成する場合に役立ちます。カスタムロールを使用すると、Assured Workloads 環境内でのコンプライアンスの取得とメンテナンスをサポートできます。