Bare Metal Solution の IAM を構成する

Google Cloud プロジェクトのユーザーやサービス アカウントなどのプリンシパルが Bare Metal Solution 環境のリソースにアクセスできるようにするには、適切なロールと権限を付与する必要があります。アクセス権を付与するには、Identity and Access Management(IAM)ポリシーを作成し、Bare Metal Solution に固有の事前定義ロールを付与します。

プリンシパルがジョブの実行に必要な権限を持つロールを付与します。ただし、必要以上の権限を持つロールは使用しないでください。これにより、最小権限という Google Cloud セキュリティ原則を遵守できます。

Bare Metal Solution の事前定義ロール

次の表のように、Bare Metal Solution の IAM ロールには、特定のリソースへのアクセスをプリンシパルに許可する権限が含まれています。

ロール名 パス 説明
Bare Metal Solution 管理者 roles/baremetalsolution.admin
(これらの権限はオーナーの基本ロールにも含まれています)
既存および新たに作成される Bare Metal Solution リソースに対してすべての操作を許可します。このロールでは、プロジェクト レベルで読み取り権限と書き込み権限が付与されます。
Bare Metal Solution 編集者 roles/baremetalsolution.editor
(これらの権限は編集者の基本ロールにも含まれています)
既存および新たに作成される Bare Metal Solution リソースに対する編集者の権限を付与します。このロールでは、プロジェクト レベルで読み取り権限と書き込み権限が付与されます。
Bare Metal Solution 閲覧者 roles/baremetalsolution.viewer
(これらの権限は閲覧者の基本ロールにも含まれています)
既存および新たに作成される Bare Metal Solution リソースに対する閲覧者の権限を付与します。このロールでは、プロジェクト レベルで読み取り専用権限が付与されます。
Bare Metal Solution インスタンス管理者 roles/baremetalsolution.instancesadmin Bare Metal Solution サーバーの管理者。
Bare Metal Solution インスタンスの編集者 roles/baremetalsolution.instanceseditor Bare Metal Solution サーバーの編集者。このロールでは、サーバーのモニタリングと管理を行う権限が付与されます。
Bare Metal Solution インスタンス閲覧者 roles/baremetalsolution.instancesviewer Bare Metal Solution サーバーの閲覧者。このロールでは、サーバーを表示するための読み取り専用権限が付与されます。
Bare Metal Solution ストレージ管理者 roles/baremetalsolution.storageadmin Bare Metal Solution ストレージ リソースの管理者(ボリューム、LUN、スナップショット、スナップショット スケジュール ポリシーなど)。
Bare Metal Solution ストレージ編集者 roles/baremetalsolution.storageeditor Bare Metal Solution ストレージ リソースの編集者(ボリューム、LUN、スナップショット、スナップショット スケジュール ポリシーなど)。このロールでは、ストレージのモニタリングと管理を行う権限が付与されます。
Bare Metal Solution ストレージ閲覧者 roles/baremetalsolution.storageviewer Bare Metal Solution ストレージ リソースの閲覧者(ボリューム、LUN、スナップショット、スナップショット スケジュール ポリシーなど)。このロールでは、ストレージを表示するための読み取り専用権限が付与されます。
Bare Metal Solution ネットワーク管理者 roles/baremetalsolution.networksadmin Bare Metal Solution ネットワーク リソースの管理者。
Bare Metal Solution ネットワーク編集者 roles/baremetalsolution.networkseditor Bare Metal Solution ネットワーク リソースの編集者。このロールでは、ネットワークのモニタリングと管理を行う権限が付与されます。
Bare Metal Solution ネットワーク閲覧者 roles/baremetalsolution.networksviewer Bare Metal Solution ネットワーク リソースの閲覧者。このロールでは、ネットワークを表示するための読み取り専用権限が付与されます。
Bare Metal Solution NFS 共有管理者 roles/baremetalsolution.nfssharesadmin Bare Metal Solution NFS 共有リソースの管理者。
Bare Metal Solution NFS 共有編集者 roles/baremetalsolution.nfsshareseditor Bare Metal Solution NFS 共有リソースの編集者。このロールでは、NFS ファイル ストレージのモニタリングと管理を行う権限が付与されます。
Bare Metal Solution NFS 共有閲覧者 roles/baremetalsolution.nfssharesviewer Bare Metal Solution NFS 共有リソースの閲覧者このロールでは、NFS ファイル ストレージを表示するための読み取り専用権限が付与されます。

これらのロールは、次のように適用することをおすすめします。

  • 登録フォームへの入力

    • Bare Metal Solution のロール: 管理者、編集者、インスタンス管理者と Compute ネットワーク閲覧者
    • 基本ロール: オーナーまたは編集者
  • Bare Metal Solution サーバーの再起動

    • Bare Metal Solution のロール: 管理者または編集者
    • 基本ロール: オーナーまたは編集者
  • サーバーの一覧表示またはステータスのリクエスト

    • Bare Metal Solution のロール: 閲覧者またはインスタンス閲覧者
    • 基本ロール: 閲覧者
  • ストレージ コンポーネントの管理

    • Bare Metal Solution のロール: 管理者、編集者、またはストレージ管理者
    • 基本ロール: オーナーまたは編集者
  • ネットワーキング コンポーネントの管理

    • Bare Metal Solution のロール: 管理者、編集者、またはネットワーク管理者
    • 基本ロール: オーナーまたは編集者

Bare Metal Solution のロールの一覧については、事前定義ロールをご覧ください。検索ボックスに「baremetalsolution.」と入力します。

Bare Metal Solution の権限の一覧については、権限を検索するをご覧ください。検索ボックスに「baremetalsolution.」と入力します。

IAM ロールを付与する

IAM ポリシーを追加して、Bare Metal Solution のロールをプリンシパルに付与します。このロールには、プリンシパルに特定のアクションの実行を許可する権限が含まれています。ロールを付与するには、次のコマンドを実行します。

コンソール

  1. 自分のロールに、他のユーザーにロールを付与するのに適切な IAM 権限が含まれていることを確認します。たとえば、オーナープロジェクト IAM 管理者セキュリティ管理者などです。この要件の詳細については、必要なロールをご覧ください。

  2. Google Cloud コンソールで IAM の [権限] ページに移動します。

    [IAM] に移動

  3. [アクセス権を付与] をクリックします。

  4. 次の情報を入力します。

    • [プリンシパルを追加] でユーザーを入力します。個々のユーザー、Google グループ、サービス アカウント、Google Workspace ドメインのいずれかを追加できます。

    • [ロールの割り当て] で、[ロールの選択] メニューからロールを選択して、プリンシパルにこのロールを付与します。

    • プリンシパルに複数のロールを割り当てる必要がある場合は、[別のロールを追加] をクリックします。

    • [保存] をクリックします。

    プリンシパルおよび割り当てられているロールは IAM 権限のステータス ページに表示されます。

gcloud

  1. 自分のロールに、他のユーザーにロールを付与するのに適切な IAM 権限が含まれていることを確認します。たとえば、オーナープロジェクト IAM 管理者セキュリティ管理者などです。この要件の詳細については、必要なロールをご覧ください。

  2. Google Cloud プロジェクトで Cloud Shell ウィンドウを開きます。

  3. 次のコマンドに、Google Cloud プロジェクト ID、プリンシパルの Google Cloud アカウントのメールアドレス、必要な Bare Metal Solution のロールパスを追加します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=user:username@example.com \
     --role=roles/baremetalsolution.admin
     

  4. コマンドをコピーして、Cloud Shell ウィンドウに貼り付けます。

  5. Enter キーまたは Return キーを押します。

  6. [Authorize Cloud Shell] ウィンドウが開いて、API 呼び出しの許可を求められる場合があります。これが表示された場合は、[承認] をクリックします。

  7. コマンドの入力が正常に完了すると、次のような出力が表示されます。

    Updated IAM policy for project [PROJECT_ID].
      bindings:
      - members:
       - user:username@example.com
       role: roles/baremetalsolution.admin
      - members:
       - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
       role: roles/compute.serviceAgent
      - members:
       - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com
       - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com
       role: roles/editor
      - members:
       - user:username@example.com
       role: roles/owner
      etag: ETAG_NUMBER
      version: 1
     

IAM の詳細については、Identity and Access Management をご覧ください。