ロールと権限

このページでは、Certificate Manager に必要な権限と、それらをカプセル化する Identity and Access Management のロールの一覧を示します。

権限

このセクションでは、Certificate Manager で特定のオペレーションを実行するために必要な権限について説明します。

操作と方法 リソース 権限
証明書を作成する

certificates.create
証明書 ターゲットの Google Cloud プロジェクトに対する certificatemanager.certs.create。 DNS 認証を使用する場合は、関連する各 DNS 認証にも certificatemanager.dnsauthorizations.use が必要です。
証明書を一覧表示する

certificates.list
証明書 ターゲットの Google Cloud プロジェクトに対する certificatemanager.certs.list
証明書を取得する

certificates.get
証明書 ターゲット証明書の certificatemanager.certs.get
証明書を更新する

certificates.patch
証明書 ターゲット証明書の certificatemanager.certs.update
リソースに証明書を適用する 証明書 ターゲット証明書の certificatemanager.certs.use
証明書を削除する

certificates.delete
証明書 ターゲット証明書の certificatemanager.certs.delete
証明書マップを作成する

certificateMaps.create
証明書マップ ターゲットの Google Cloud プロジェクトに対する certificatemanager.certmaps.create
証明書マップを一覧表示する

certificateMaps.list
証明書マップ ターゲットの Google Cloud プロジェクトに対する certificatemanager.certmaps.list
証明書マップを取得する

certificateMaps.get
証明書マップ ターゲット証明書マップに対する certificatemanager.certmaps.get
証明書マップを更新する

certificateMaps.patch
証明書マップ ターゲット証明書マップに対する certificatemanager.certmaps.update
証明書マップをリソースに関連付ける 証明書マップ ターゲット証明書マップに対する certificatemanager.certmaps.use
証明書マップを削除する

certificateMaps.delete
証明書マップ ターゲット証明書マップに対する certificatemanager.certmaps.delete
証明書マップ エントリを作成する

certificateMaps.certificateMapEntries.create
証明書マップエントリ ターゲット証明書マップに対する certificatemanager.certmapentries.create と関連する各証明書に対する certificatemanager.certs.use
証明書マップエントリを一覧表示する

certificateMaps.certificateMapEntries.list
証明書マップエントリ ターゲット証明書マップに対する certificatemanager.certmapentries.list
証明書マップエントリを取得する

certificateMaps.certificateMapEntries.get
証明書マップエントリ ターゲット証明書マップエントリの certificatemanager.certmapentries.get
証明書マップエントリを更新する

certificateMaps.certificateMapEntries.patch
証明書マップエントリ ターゲット証明書マップエントリに対する certificatemanager.certmapentries.update と関連する各証明書に対する certificatemanager.certs.use
証明書マップ エントリを削除する

certificateMaps.certificateMapEntries.delete
証明書マップエントリ ターゲット証明書マップエントリの certificatemanager.certmapentries.delete
DNS 認証を作成する

dnsAuthorizations.create
DNS 認証 ターゲットの Google Cloud プロジェクトに対する certificatemanager.dnsauthorizations.create
DNS 認証を一覧表示する

dnsAuthorizations.list
DNS 認証 ターゲットの Google Cloud プロジェクトに対する certificatemanager.dnsauthorizations.list
DNS 認証を取得する

dnsAuthorizations.get
DNS 認証 ターゲット DNS 認証に対する certificatemanager.dnsauthorizations.get
DNS 認証を更新する

dnsAuthorizations.patch
DNS 認証 ターゲット DNS 認証に対する certificatemanager.dnsauthorizations.update
DNS 認証を削除する

dnsAuthorizations.delete
DNS 認証 ターゲット DNS 認証に対する certificatemanager.dnsauthorizations.delete
証明書発行の構成を作成する

certificateIssuanceConfigs.create
証明書発行の構成 ターゲットの Google Cloud プロジェクトに対する certificatemanager.certissuanceconfigs.create
証明書発行の構成を一覧表示する

certificateIssuanceConfigs.list
証明書発行の構成 ターゲットの Google Cloud プロジェクトに対する certificatemanager.certissuanceconfigs.list
証明書発行の構成を取得する

certificateIssuanceConfigs.get
証明書発行の構成 ターゲットの証明書発行の構成に対する certificatemanager.certissuanceconfigs.get
証明書発行の構成を削除する

certificateIssuanceConfigs.delete
証明書発行の構成 ターゲットの証明書発行の構成に対する certificatemanager.certissuanceconfigs.delete
信頼構成を作成する

trustConfigs.create
信頼構成 ターゲットの Google Cloud プロジェクトに対する certificatemanager.trustconfigs.create
信頼構成を一覧表示する

trustConfigs.list
信頼構成 ターゲットの Google Cloud プロジェクトに対する certificatemanager.trustconfigs.list
信頼構成を更新する

trustConfigs.patch
信頼構成 ターゲット信頼構成の certificatemanager.trustconfigs.update
信頼構成の状態を取得する

trustConfigs.get
信頼構成 ターゲット信頼構成の certificatemanager.trustconfigs.get
信頼構成をリソースに添付する 信頼構成 ターゲット信頼構成の certificatemanager.trustconfigs.use
信頼構成を削除する

trustConfigs.delete
信頼構成 ターゲット信頼構成の certificatemanager.trustconfigs.delete
外部アカウントキーを作成する

externalAccountKeys.create
外部アカウントキー ターゲットの Google Cloud プロジェクトに対する publicca.externalAccountKeys.create

ロール

このセクションでは、Certificate Manager の権限をカプセル化する IAM ロールを一覧表示します。

Google Cloud プロジェクトに対する Certificate Manager のロール

次の表に、Google Cloud プロジェクトのロールと、カプセル化する Certificate Manager の権限を示します。

Role Permissions

(roles/certificatemanager.editor)

Edit access to Certificate Manager all resources.

certificatemanager.certissuanceconfigs.create

certificatemanager.certissuanceconfigs.get

certificatemanager.certissuanceconfigs.list

certificatemanager.certissuanceconfigs.update

certificatemanager.certissuanceconfigs.use

certificatemanager.certmapentries.create

certificatemanager.certmapentries.get

certificatemanager.certmapentries.list

certificatemanager.certmapentries.update

certificatemanager.certmaps.create

certificatemanager.certmaps.get

certificatemanager.certmaps.list

certificatemanager.certmaps.update

certificatemanager.certmaps.use

certificatemanager.certs.create

certificatemanager.certs.get

certificatemanager.certs.list

certificatemanager.certs.update

certificatemanager.certs.use

certificatemanager.dnsauthorizations.create

certificatemanager.dnsauthorizations.get

certificatemanager.dnsauthorizations.list

certificatemanager.dnsauthorizations.update

certificatemanager.dnsauthorizations.use

certificatemanager.locations.*

  • certificatemanager.locations.get
  • certificatemanager.locations.list

certificatemanager.operations.get

certificatemanager.operations.list

certificatemanager.trustconfigs.create

certificatemanager.trustconfigs.get

certificatemanager.trustconfigs.list

certificatemanager.trustconfigs.update

certificatemanager.trustconfigs.use

resourcemanager.projects.get

resourcemanager.projects.list

(roles/certificatemanager.owner)

Full access to Certificate Manager all resources.

certificatemanager.*

  • certificatemanager.certissuanceconfigs.create
  • certificatemanager.certissuanceconfigs.delete
  • certificatemanager.certissuanceconfigs.get
  • certificatemanager.certissuanceconfigs.list
  • certificatemanager.certissuanceconfigs.update
  • certificatemanager.certissuanceconfigs.use
  • certificatemanager.certmapentries.create
  • certificatemanager.certmapentries.delete
  • certificatemanager.certmapentries.get
  • certificatemanager.certmapentries.list
  • certificatemanager.certmapentries.update
  • certificatemanager.certmaps.create
  • certificatemanager.certmaps.delete
  • certificatemanager.certmaps.get
  • certificatemanager.certmaps.list
  • certificatemanager.certmaps.update
  • certificatemanager.certmaps.use
  • certificatemanager.certs.create
  • certificatemanager.certs.delete
  • certificatemanager.certs.get
  • certificatemanager.certs.list
  • certificatemanager.certs.update
  • certificatemanager.certs.use
  • certificatemanager.dnsauthorizations.create
  • certificatemanager.dnsauthorizations.delete
  • certificatemanager.dnsauthorizations.get
  • certificatemanager.dnsauthorizations.list
  • certificatemanager.dnsauthorizations.update
  • certificatemanager.dnsauthorizations.use
  • certificatemanager.locations.get
  • certificatemanager.locations.list
  • certificatemanager.operations.cancel
  • certificatemanager.operations.delete
  • certificatemanager.operations.get
  • certificatemanager.operations.list
  • certificatemanager.trustconfigs.create
  • certificatemanager.trustconfigs.delete
  • certificatemanager.trustconfigs.get
  • certificatemanager.trustconfigs.list
  • certificatemanager.trustconfigs.update
  • certificatemanager.trustconfigs.use

resourcemanager.projects.get

resourcemanager.projects.list

(roles/certificatemanager.viewer)

Read-only access to Certificate Manager all resources.

certificatemanager.certissuanceconfigs.get

certificatemanager.certissuanceconfigs.list

certificatemanager.certmapentries.get

certificatemanager.certmapentries.list

certificatemanager.certmaps.get

certificatemanager.certmaps.list

certificatemanager.certs.get

certificatemanager.certs.list

certificatemanager.dnsauthorizations.get

certificatemanager.dnsauthorizations.list

certificatemanager.locations.*

  • certificatemanager.locations.get
  • certificatemanager.locations.list

certificatemanager.operations.get

certificatemanager.operations.list

certificatemanager.trustconfigs.get

certificatemanager.trustconfigs.list

resourcemanager.projects.get

resourcemanager.projects.list

Google Cloud プロジェクトの Public CA のロール

次のロールと、カプセル化するための権限は、特に Public CA オペレーションに必要です。

ロール 権限
Public CA 外部アカウントキー作成者
roles/publicca.externalAccountKeyCreator

Public CA 外部キーアカウントのリソースに対するアクセス権を作成します。

resourcemanager.projects.get
resourcemanager.projects.list
publicca.externalAccountKeys.create

カスタムロール

Google Cloud では、ビジネスニーズに固有の権限(最小権限の原則など)をカプセル化するカスタムロールを作成することもできます。手順については、カスタムロールの作成と管理をご覧ください。

次のステップ