Bare Metal Solution の IAM を構成する

プリンシパルが Bare Metal Solution 環境のリソースにアクセスできるようにするには、ユーザー アカウントとサービス アカウントに適切なロールと権限を付与する必要があります。Google Cloud の他のコンポーネントと同様に、Identity and Access Management(IAM)ポリシーを作成し、Bare Metal Solution に固有の事前定義ロールを付与できます。

Google Cloud プロジェクトに関連付けられているプリンシパルにロールを付与します。プリンシパルがジョブの実行に必要な権限を持つロールを付与します。ただし、必要以上の権限を持つロールは使用しないでください。これにより、最小権限という Google Cloud セキュリティ原則を遵守できます。

Bare Metal Solution の事前定義ロール

次の表のように、Bare Metal Solution の IAM ロールには、特定のリソースへのアクセスをプリンシパルに許可する権限が含まれています。

ロール名 パス 説明
Bare Metal Solution 管理者 roles/baremetalsolution.admin
(これらの権限は「オーナー」基本ロールにも含まれています)
既存および新たに作成される Bare Metal Solution リソースに対してすべての操作を許可します。このロールでは、プロジェクト レベルで読み取り権限と書き込み権限が付与されます。
Bare Metal Solution 編集者 roles/baremetalsolution.editor
(これらの権限は「編集者」基本ロールにも含まれています)
既存および新たに作成される Bare Metal Solution リソースに対する編集者の権限を付与します。このロールでは、プロジェクト レベルで読み取り権限と書き込み権限が付与されます。
Bare Metal Solution 閲覧者 roles/baremetalsolution.viewer
(これらの権限は「閲覧者」基本ロールにも含まれています)
既存および新たに作成される Bare Metal Solution リソースに対する閲覧者の権限を付与します。このロールでは、プロジェクト レベルで読み取り専用権限が付与されます。
Bare Metal Solution インスタンス管理者 roles/baremetalsolution.instancesadmin Bare Metal Solution サーバーの管理者。
Bare Metal Solution インスタンスの編集者 roles/baremetalsolution.instanceseditor Bare Metal Solution サーバーの編集者。このロールでは、サーバーのモニタリングと管理を行う権限が付与されます。
Bare Metal Solution インスタンス閲覧者 roles/baremetalsolution.instancesviewer Bare Metal Solution サーバーの閲覧者。このロールでは、サーバーを表示するための読み取り専用権限が付与されます。
Bare Metal Solution ストレージ管理者 roles/baremetalsolution.storageadmin Bare Metal Solution ストレージ リソースの管理者(ボリューム、LUN、スナップショット、スナップショット スケジュール ポリシーなど)。
Bare Metal Solution ストレージ編集者 roles/baremetalsolution.storageeditor Bare Metal Solution ストレージ リソースの編集者(ボリューム、LUN、スナップショット、スナップショット スケジュール ポリシーなど)。このロールでは、ストレージのモニタリングと管理を行う権限が付与されます。
Bare Metal Solution ストレージ閲覧者 roles/baremetalsolution.storageviewer Bare Metal Solution ストレージ リソースの閲覧者(ボリューム、LUN、スナップショット、スナップショット スケジュール ポリシーなど)。このロールでは、ストレージを表示するための読み取り専用権限が付与されます。
Bare Metal Solution ネットワーク管理者 roles/baremetalsolution.networksadmin Bare Metal Solution ネットワーク リソースの管理者。
Bare Metal Solution ネットワーク編集者 roles/baremetalsolution.networkseditor Bare Metal Solution ネットワーク リソースの編集者。このロールでは、ネットワークのモニタリングと管理を行う権限が付与されます。
Bare Metal Solution ネットワーク閲覧者 roles/baremetalsolution.networksviewer Bare Metal Solution ネットワーク リソースの閲覧者。このロールでは、ネットワークを表示するための読み取り専用権限が付与されます。
Bare Metal Solution NFS 共有管理者 roles/baremetalsolution.nfssharesadmin Bare Metal Solution NFS 共有リソースの管理者。
Bare Metal Solution NFS 共有編集者 roles/baremetalsolution.nfsshareseditor Bare Metal Solution NFS 共有リソースの編集者。このロールでは、NFS ファイル ストレージのモニタリングと管理を行う権限が付与されます。
Bare Metal Solution NFS 共有閲覧者 roles/baremetalsolution.nfssharesviewer Bare Metal Solution NFS 共有リソースの閲覧者このロールでは、NFS ファイル ストレージを表示するための読み取り専用権限が付与されます。

これらのロールは、次のように適用することをおすすめします。

  • 登録フォームへの入力

    • Bare Metal Solution のロール: 管理者、編集者、インスタンス管理者と Compute ネットワーク閲覧者
    • 基本ロール: 管理者または編集者
  • Bare Metal Solution サーバーの再起動

    • Bare Metal Solution のロール: 管理者または編集者
    • 基本ロール: 管理者または編集者
  • サーバーの一覧表示またはステータスのリクエスト

    • Bare Metal Solution のロール: 閲覧者またはインスタンス閲覧者
    • 基本ロール: 閲覧者
  • ストレージ コンポーネントの管理

    • Bare Metal Solution のロール: 管理者、編集者、またはストレージ管理者
    • 基本ロール: 管理者または編集者
  • ネットワーキング コンポーネントの管理

    • Bare Metal Solution のロール: 管理者、編集者、またはネットワーク管理者
    • 基本ロール: 管理者または編集者

IAM ロールを付与する

プリンシパル(Cloud プロジェクトのユーザーまたはサービス アカウント)に Bare Metal Solution のロールを付与するには、Identity and Access Management(IAM)ポリシーを追加します。このロールには、プリンシパルに特定のアクションの実行を許可する権限が含まれています。ロールを付与するには:

  1. 自分のロールに、他のユーザーにロールを付与するのに適切な IAM 権限が含まれていることを確認します。たとえば、オーナープロジェクト IAM 管理者セキュリティ管理者などです。この要件の詳細については、必要な権限をご覧ください。
  2. Cloud プロジェクトで Cloud Shell ウィンドウを開きます。
  3. 次のコマンドに、Cloud プロジェクト ID、プリンシパルの Google Cloud アカウントのメールアドレス、必要な Bare Metal Solution のロールパスを追加します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=user:username@example.com \
     --role=roles/baremetalsolution.admin
     

  4. コマンドをコピーして、Cloud Shell ウィンドウに貼り付けます。

  5. Enter キーまたは Return キーを押します。

  6. [Authorize Cloud Shell] ウィンドウが開いて、API 呼び出しの許可を求められる場合があります。これが表示された場合は、[承認] をクリックします。

  7. コマンドの入力が正常に完了すると、次のような出力が表示されます。

    Updated IAM policy for project [PROJECT_ID].
      bindings:
      - members:
       - user:username@example.com
       role: roles/baremetalsolution.admin
      - members:
       - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
       role: roles/compute.serviceAgent
      - members:
       - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com
       - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com
       role: roles/editor
      - members:
       - user:username@example.com
       role: roles/owner
      etag: ETAG_NUMBER
      version: 1
     

IAM の詳細については、Identity and Access Management をご覧ください。