Compute Engine には特定の Identity and Access Management(IAM)役割のセットがあります。事前定義された各役割には、一連の権限が含まれています。
プロジェクトに新しいメンバーを追加する際は、IAM ポリシーを使用して新しいメンバーに 1 つ以上の IAM の役割を割り当てることが可能です。各 IAM 役割には、メンバーに特定のリソースへのアクセスを許可する権限が含まれています。
プロジェクト レベルでポリシーを設定する方法については、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。Compute Engine リソースに対するポリシーを設定する方法については、Compute Engine リソースへのアクセスを許可するをご覧ください。Compute Engine のサービス アカウントに役割を割り当てる方法については、インスタンスのサービス アカウントの作成と有効化のドキュメントをご覧ください。権限のサブセットを含めたカスタムの役割を作成する方法については、カスタムの役割の作成と管理をご覧ください。
始める前に
- Google Cloud IAM のドキュメントをご覧ください。
IAM とは
Google Cloud Platform には Identity and Access Management(IAM)機能があり、特定の Google Cloud Platform リソースへのより細かなアクセス制御が可能になり、他のリソースへの不要なアクセスを防ぐことができます。IAM を使用すると、最小限の権限のセキュリティ原則を導入できるため、リソースに対する必要なアクセス権のみ付与できます。
IAM では、IAM ポリシーを設定して、誰(どのユーザー)に、どのリソースに対するどのアクセス権(役割)を付与するかを制御できます。IAM ポリシーは、特定の役割をプロジェクト メンバーに付与することで、その ID に特定の権限を付与します。たとえば、プロジェクトなどの特定のリソースに対し、Google アカウントに roles/compute.networkAdmin の役割を割り当てた場合、そのアカウントはプロジェクト内のネットワーク関連のリソースは制御できるようになりますが、インスタンスやディスクなどの他のリソースは管理できません。また、IAM を使用して、プロジェクト チームメンバーに付与されている GCP Console の以前の役割を管理することもできます。
事前定義された Compute Engine IAM 役割
IAM では、Compute Engine 内のすべての API メソッドで、API リクエストを行う ID がリソースの使用に必要な権限を保持していることが要求されます。権限を付与するには、プロジェクトのメンバー(ユーザー、グループ、またはサービス アカウント)に役割を付与するポリシーを設定します。
従来の役割(閲覧者、編集者、オーナー)やカスタムの役割に加え、Compute Engine であらかじめ定義されている以下の役割もプロジェクトのメンバーに割り当てることができます。
1 人のプロジェクト メンバーに、同一リソースにおける複数の役割を付与できます。たとえば、ネットワーキング チームがファイアウォール ルールも管理している場合、roles/compute.networkAdmin と roles/compute.securityAdmin の両方の役割をネットワーキング チームの Google グループに付与できます。
次の表に、事前定義された Compute Engine IAM 役割と、それぞれの役割に含まれる権限を記載します。各役割には、特定のタスクに適した一連の権限が含まれています。たとえば、最初の 2 つの役割はインスタンスを管理する権限を付与するものです。ネットワーク関連の役割にはネットワーク関連のリソースを管理する権限が含まれ、セキュリティ関連の役割にはファイウォールや SSL 証明書などのセキュリティ関連のリソースを管理する権限が含まれています。
Compute 管理者の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
Compute Engine リソースのすべてを管理する権限。
ユーザーがサービス アカウントとして実行するように構成されている仮想マシン インスタンスを管理する場合は、 |
|
Compute イメージ ユーザーの役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
イメージを一覧表示し、読み取る権限(イメージに対する他の権限はありません)。プロジェクト レベルで |
|
Compute インスタンス管理者(ベータ版)の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
仮想マシン インスタンスを作成、変更、削除する権限。 ディスクの作成、変更、削除を行う権限が含まれます。Shielded VMベータ版の設定を構成する権限も含まれます。
ユーザーがサービス アカウントとして実行するように構成されている仮想マシン インスタンスを管理する場合は、 たとえば、仮想マシン インスタンスのグループは管理しているが、ネットワークやセキュリティの設定の管理や、サービス アカウントとして実行するインスタンスの管理は行っていないというユーザーが社内にいる場合は、この役割をインスタンスが含まれている組織、フォルダ、プロジェクトあるいは個々のインスタンスに付与できます。 |
|
Compute インスタンス管理者(v1)の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
Compute Engine インスタンス、インスタンス グループ、ディスク、スナップショット、イメージのすべてを管理する権限。
すべての Compute Engine ネットワーキング リソースに対する読み取りアクセス権。
この役割をユーザーにインスタンス レベルでのみ付与した場合、そのユーザーは新しいインスタンスを作成できません。 |
|
Compute ロードバランサ管理者の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
ベータ版
|
ロードバランサを作成、変更、削除し、リソースを関連付ける権限。
たとえば、ロードバランサ、ロードバランサの SSL 証明書、SSL ポリシー、その他のロード バランシング リソースを管理するロード バランシング チームと、その他のネットワーク リソースを管理するネットワーク チームが社内にいる場合は、ロード バランシング チームのグループに |
|
Compute ネットワーク管理者(ベータ版)の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
ネットワーキング リソース(ファイアウォール ルールと SSL 証明書を除く)を作成、変更、削除する権限。ネットワーク管理者の役割により、ファイアウォール ルール、SSL 証明書、インスタンス(それぞれのエフェメラル IP アドレスの表示用)への読み取り専用アクセスを付与できます。ネットワーク管理者の役割で、インスタンスの作成、起動、停止、削除はできません。
たとえば、ファイアウォールと SSL 証明書を管理するセキュリティ チームと、残りのネットワーキング リソースを管理するネットワーキング チームが社内にいる場合は、ネットワーキング チームのグループに |
|
Compute ネットワーク ユーザーの役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
共有 VPC ネットワークへのアクセス権を付与します。 アクセス権を付与されたサービス オーナーは、ホスト プロジェクトに属する VPC ネットワークとサブネットを使用できます。たとえば、ネットワーク ユーザーは、ホスト プロジェクト ネットワークに属する VM インスタンスを作成できますが、ホスト プロジェクトでネットワークを削除できません。また、新しいネットワークを作成することもできません。 |
|
Compute ネットワーク閲覧者の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
すべてのネットワーク リソースに対する読み取りアクセス権。
たとえば、ネットワーク構成を検査するソフトウェアがある場合は、そのソフトウェアのサービス アカウントに |
|
Compute OS 管理者ログインの役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
管理者ユーザーとして Compute Engine インスタンスにログインするアクセス権。 |
|
Compute OS ログインの役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
標準ユーザーとして Compute Engine インスタンスにログインするアクセス権。 |
|
Compute OS ログインの外部ユーザーの役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
組織レベルでのみ利用できます。 この組織に関連付けられた OS ログイン情報を外部ユーザーが設定するアクセス権。この役割で、インスタンスへのアクセスは許可されません。外部ユーザーが SSH を使用してインスタンスにアクセスできるようにするには、OS ログインの役割のいずれかが付与されている必要があります。 |
|
Compute セキュリティ管理者の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
ファイアウォール ルールと SSL 証明書を作成、変更、削除する権限。Shielded VMベータ版の設定を構成する権限も含まれます。
たとえば、ファイアウォールと SSL 証明書を管理するセキュリティ チームと、残りのネットワーキング リソースを管理するネットワーキング チームが社内にいる場合は、セキュリティ チームのグループに |
|
Compute ストレージ管理者の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
ディスク、イメージ、スナップショットを作成、変更、削除する権限。
たとえば、自社のプロジェクト イメージ管理者にプロジェクトの編集者の役割を付与しない場合は、そのアカウントにプロジェクト レベルで |
|
Compute 閲覧者の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
Compute Engine リソースを取得して表示する読み取りアクセス権。そこに格納されたデータを読み取ることはできません。 たとえば、この役割を持つアカウントはプロジェクトのすべてのディスクの一覧を作成できますが、それらのディスク内のデータを読み取ることはできません。 |
|
Compute Shared VPC 管理者の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
共有 VPC ホスト プロジェクトを管理する権限。特にホスト プロジェクトを有効にし、共有 VPC サービス プロジェクトをホスト プロジェクトのネットワークに関連付ける権限。 この役割を組織に付与できるのは、組織管理者だけです。
Google Cloud Platform では、共有 VPC ホスト プロジェクトのオーナーを共有 VPC 管理者にすることを推奨しています。共有 VPC 管理者はサービス オーナーに |
|
DNS 管理者の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
すべての Cloud DNS リソースへの読み取り / 書き込みアクセス権を付与します。 |
|
DNS ピアの役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
ベータ版
|
DNS ピアリング ゾーンを持つターゲット ネットワークへのアクセス権 |
|
DNS リーダーの役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
すべての Cloud DNS リソースへの読み取り専用アクセス権を付与します。 |
|
サービス アカウント管理者の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
サービス アカウントを作成、管理します。 |
|
サービス アカウント作成の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
サービス アカウントを作成するための権限。 |
|
サービス アカウント削除の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
サービス アカウントを削除するための権限。 |
|
サービス アカウント キー管理者の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
サービス アカウント キーの作成と管理(ローテーション)を行います。 |
|
サービス アカウント トークン作成者の役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
サービス アカウント権限を使用できます(OAuth2 アクセス トークンを作成し、blob または JWT などに署名します)。 |
|
サービス アカウント ユーザーの役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
サービス アカウントとして操作を行います。 |
|
Workload Identity ユーザーの役割
| 名前 | 説明 | 権限 |
|---|---|---|
roles/
|
GKE ワークロードのサービス アカウントを使用できます |
|
serviceAccountUser の役割
roles/compute.instanceAdmin.v1 と roles/iam.serviceAccountUser の両方が付与されたメンバーは、サービス アカウントを使用するインスタンスを作成、管理できます。特に、roles/iam.serviceAccountUser と roles/compute.instanceAdmin.v1 をまとめて付与すると、メンバーに次の権限が設定されます。
- サービス アカウントとして実行するインスタンスの作成。
- サービス アカウントとして実行するインスタンスへの永続ディスクの接続。
- サービス アカウントとして実行するインスタンスへのインスタンス メタデータの設定。
- サービス アカウントとして実行するインスタンスへの SSH を使用した接続。
- サービス アカウントとして実行するインスタンスの再構成。
roles/iam.serviceAccountUser は、次の 2 つの方法のいずれかで付与できます。
[推奨] 特定のサービス アカウントに基づいてメンバーに役割を付与する。これにより、この役割が付与されたメンバーは自身が
iam.serviceAccountUserとなっているサービス アカウントにはアクセスできますが、iam.serviceAccountUserとなっていない他のサービス アカウントにはアクセスできません。プロジェクト レベルでメンバーに役割を付与する。このメンバーは、プロジェクト内のすべてのサービス アカウントにアクセスできます。今後作成されるサービス アカウントにもアクセスできます。
サービス アカウントについて理解を深めるには、サービス アカウントの詳細を確認してください。
instanceAdmin としてのインスタンスへの接続
プロジェクト メンバーに roles/compute.instanceAdmin.v1 の役割が付与されると、そのメンバーは gcloud やブラウザからの SSH をはじめとする標準の Google Cloud Platform ツールを使用して、仮想マシン インスタンスに接続できます。
gcloud コマンドライン ツールまたはブラウザからの SSH を使用すると、公開鍵 / 秘密鍵のペアが自動的に生成され、公開鍵がプロジェクト メタデータに追加されます。メンバーがプロジェクト メタデータを編集する権限を保有していない場合、ツールによって代わりにメンバーの公開鍵がインスタンス メタデータに追加されます。
使用する既存の鍵のペアを持っているメンバーは、自分の公開鍵をインスタンスのメタデータに手動で追加できます。 インスタンスから SSH キーを追加および削除する方法の詳細を確認してください。
IAM とサービス アカウント
新しいカスタム サービス アカウントを作成し、IAM の役割をサービス アカウントに付与して、インスタンスのアクセスを制限します。IAM の役割とカスタム サービス アカウントは、以下の目的のために使用します。
- きめ細かい IAM の役割を使用して、Cloud Platform API に対するインスタンスのアクセスを制限する。
- 各インスタンス、または一連のインスタンスに一意の ID を付与する。
- デフォルトのサービス アカウントのアクセスを制限する。
マネージド インスタンス グループと IAM
マネージド インスタンス グループでは、特に自動スケーリングの対象として構成されていると、ユーザーが直接操作しなくてもリソースによって操作が行われます。マネージド インスタンス グループは、サービス アカウント ID を使用して、インスタンス グループ内のインスタンスを作成、削除、管理します。詳細については、マネージド インスタンス グループと IAM のドキュメントを参照してください。
サポートされていない操作
IAM の役割を使用して、インスタンス グループに対するローリング更新を実行するためのアクセス権を付与することはできません。
このような操作の実行権限を付与するには、より広範囲なオーナー、編集者、または閲覧者の役割を使用します。
