すべての Google Cloud プロダクトと同様に、Identity and Access Management は、認証されたユーザーとサービス アカウントがどのアクションを実行できるかを制御することで、Cloud Deploy を保護します。
このドキュメントでは、IAM のいくつかの機能について説明し、Cloud Deploy を使用して管理されるアプリケーションの配信を保護する手順を説明します。Cloud Deploy のアクションとリソースへのアクセスを制限する具体的な方法をいくつか示します。
始める前に
IAM の基本コンセプトについて理解しておきます。
Cloud Deploy のロールと権限について学習しておきます。
IAM の高度な機能について
Cloud Deploy は、ロールと権限に加えて、IAM の次の機能を使用してこれらの制御を提供します。
IAM ポリシーについて
IAM ポリシーは、バインディングとメタデータから構成されます。ロール バインディングは、1 つ以上のプリンシパル(ユーザー、グループ、またはサービス アカウント)に単一のロールを付与します。また、バインディングを有効にするかどうかを制御するコンテキスト固有の条件を付与します。
IAM ポリシーの詳細については、ポリシーについてをご覧ください。
IAM の条件について
IAM の条件を使用すると、実行時に計算された条件に基づいて、Cloud Deploy リソースとアクションへのアクセスを制御できます。たとえば、指定された期間にだけ許可されるように、特定のターゲットへのプロモーションを制限できます。
API 属性について
IAM 条件を作成するときに、API 属性を参照して、リクエストに関するランタイム情報を取得できます。たとえば、API 属性を使用して、リクエストの対象となるリソースの名前を取得できます。次に、プリンシパルがアクセスできるリソースと比較できます。
高度な IAM 機能を使用してきめ細かいアクセス権を付与する
これらの高度な IAM 機能を使用すると、特定の条件下で、特定のリソースやリソースタイプへのアクセスを制御できます。
このセクションの手順では、特定のリソース(ターゲット、デリバリー パイプライン)へのアクセス権を付与します。プロジェクト レベルでアクセス権を付与することもできます。この場合、そのプロジェクト内のすべての配信パイプラインまたはすべてのターゲットに影響します。プロジェクトの IAM ポリシーを設定するには、gcloud projects set-iam-policy
コマンドを使用します。
gcloud projects set-iam-policy PROJECT_ID POLICY_FILE
特定のデリバリー パイプラインへのアクセスを許可する
適切なロールを付与するだけで、プリンシパルにすべてのデリバリー パイプラインの作成、変更、削除を行う権限を付与できます。しかし、1 つ以上の特定のパイプラインに対して、プリンシパルにこのアクセス権を付与することもできます。
これを行うには、ロール バインディングを使用して、roles/clouddeploy.developer
ロールをそのプリンシパルにバインドします。次に、ポリシーを適用する際に(setIamPolicy
を使用して)アクセス権を付与するデリバリー パイプラインを指定します。
特定のデリバリー パイプラインへのアクセス権を付与するには:
次の情報を含む ポリシー ファイルを作成します。
bindings: - role: roles/clouddeploy.developer members: - user:fatima@example.com
上記の例では、ユーザーにロールを付与していますが、グループまたはサービス アカウントにロールを付与することもできます。
次のコマンドを呼び出して、ポリシー ファイルを特定のデリバリー パイプラインに適用します。
gcloud deploy delivery-pipelines set-iam-policy --delivery-pipeline=PIPELINE_NAME --region=REGION POLICY_FILE
特定のターゲットを構成するアクセス権を付与する
プリンシパルに特定のターゲットへのアクセス権を付与するには、ロール バインディングを使用します。これを行うには、roles/clouddeploy.operator
ロールをそのプリンシパルにバインドします。次に、ポリシーを適用する際に(setIamPolicy
を使用して)アクセス権を付与するターゲットを指定します。
特定のターゲットへのアクセス権を持つプリンシパルは、そのターゲットを更新および削除できます。
次の情報を含む ポリシー ファイルを作成します。
bindings: - role: roles/clouddeploy.operator members: - group:cd_operators@example.com
上記の例では、ユーザーにロールを付与していますが、グループまたはサービス アカウントにロールを付与することもできます。
次のコマンドを呼び出して、ポリシー ファイルを特定のターゲットに適用します。
gcloud deploy targets set-iam-policy TARGET --region=REGION POLICY_FILE
特定のターゲットにリリースを昇格させる権限を付与する
この手順では、ロールをプリンシパルにバインドするポリシーがすでに存在することを前提としています。ここでは、ターゲットを指定する条件を追加します。
次のバインドを含むポリシー ファイルを作成します。
bindings: - role: roles/clouddeploy.operator members: - serviceAccount:prod_operator@project-12345.iam.gserviceaccount.com condition: expression: api.getAttribute("clouddeploy.googleapis.com/rolloutTarget", "") == "prod" title: Deploy to prod
このロール バインディングでは、
condition
が Key-Value ペアを受け取ります。ここで、キーはexpression
、値は CEL 式です。 この式は、リクエストについての一連のコンテキスト属性を参照し、ブール値として評価します。この場合、プリンシパルがリリースを昇格させようとすると、式が評価され、プロモーション ターゲットが式のターゲットと一致することを確認します。
式は API 属性
clouddeploy.googleapis.com/rolloutTarget
(プリンシパルが昇格しようとしているターゲット)を使用します。式は、プリンシパルに昇格アクセス権が付与されているターゲットと比較します。特定のデリバリー パイプラインのバインディングを設定します。
gcloud deploy delivery-pipelines set-iam-policy PIPELINE_NAME --region=REGION POLICY_FILE
すべての配信パイプラインにこのバインディングを設定する場合は、プロジェクト レベルで設定できます。
gcloud projects set-iam-policy PROJECT POLICY_FILE
特定のターゲットにロールアウトを承認する権限を付与する
このセクションのバインディングでは、パイプラインのロールアウトを承認する権限をプリンシパルに付与し、prod
ターゲットの権限を適用する条件が含まれます。
次のバインドを含むポリシー ファイルを作成します。
bindings: - role: roles/clouddeploy.approver members: - serviceAccount:prod_operator@project-12345.iam.gserviceaccount.com condition: expression: api.getAttribute("clouddeploy.googleapis.com/rolloutTarget", "") == "prod" title: Deploy to prod
このロール バインディングでは、
condition
が Key-Value ペアを受け取ります。ここで、キーはexpression
、値は CEL 式です。 この式は、リクエストについての一連のコンテキスト属性を参照し、ブール値として評価します。この場合、プリンシパルがロールアウトを承認しようとしたときに式が評価され、ロールアウト ターゲットが式のターゲットと一致することを確認します。
式は API 属性
clouddeploy.googleapis.com/rolloutTarget
(ロールアウトのターゲット)を使用し、プリンシパルに承認アクセス権が付与されているターゲットと比較します。clouddeploy.googleapis.com/rolloutTarget
属性は、Cloud Deploy がサポートする唯一の API 属性です。特定のデリバリー パイプラインのバインディングを設定します。
gcloud deploy delivery-pipelines set-iam-policy PIPELINE_NAME --region=REGION POLICY_FILE
すべての配信パイプラインにこのバインディングを設定する場合は、プロジェクト レベルで設定します。
gcloud projects set-iam-policy PROJECT POLICY_FILE
特定の期間にリリースを昇格させる権限を付与する
このセクションのバインディングでは、パイプラインのリリースを昇格させる権限をプリンシパルに付与し、バインディングが有効である時間枠を指定する条件が含まれます。
次のバインドを含むポリシー ファイルを作成します。
bindings: - role: roles/clouddeploy.operator members: - serviceAccount:prod_operator@project-12345.iam.gserviceaccount.com condition: expression: request.time.getDayOfWeek("America/Los_Angeles") > 0 && request.time.getDayOfWeek("America/Los_Angeles") < 6 title: Promote during safe window
このロール バインディングでは、
condition
は Key-Value ペアを受け取ります。ここで、キーはexpression
、値は CEL 式です。 式は、リクエストに関する一連のコンテキスト属性を参照し、ブール値に評価されます。この式は、リクエスト時間が月曜日から金曜日の間に発生することを確認します。この場合、プリンシパルがリリースを昇格させようとすると、式が評価され、プロモーション ターゲットが式のターゲットと一致することを確認します。
特定のデリバリー パイプラインのバインディングを設定します。
gcloud deploy delivery-pipelines set-iam-policy PIPELINE_NAME --region=REGION POLICY_FILE
すべての配信パイプラインにこのバインディングを設定する場合は、プロジェクト レベルで設定できます。
gcloud projects set-iam-policy PROJECT POLICY_FILE
特定の期間にロールアウトを承認する権限を付与する
このセクションのバインディングでは、ロールアウトを承認する権限をプリンシパルに付与し、バインディングが有効である時間枠を指定する条件が含まれます。
次のバインドを含むポリシー ファイルを作成します。
bindings: - role: roles/clouddeploy.approver members: - serviceAccount:prod_operator@project-12345.iam.gserviceaccount.com condition: expression: request.time.getDayOfWeek("America/Los_Angeles") > 0 && request.time.getDayOfWeek("America/Los_Angeles") < 6 title: Approve during safe window
このロール バインディングでは、
condition
が Key-Value ペアを受け取ります。ここで、キーはexpression
、値はリクエストについての一連のコンテキスト属性を参照し、ブール値として評価する CEL 式です。 この式は、リクエスト時間が月曜日から金曜日の間に発生することを確認します。この場合、プリンシパルがロールアウトを承認しようとしたときに式が評価され、ロールアウト ターゲットが式のターゲットと一致することを確認します。
特定のデリバリー パイプラインのバインディングを設定します。
gcloud deploy delivery-pipelines set-iam-policy PIPELINE_NAME --region=REGION POLICY_FILE
すべての配信パイプラインにこのバインディングを設定する場合は、プロジェクト レベルで設定できます。
gcloud projects set-iam-policy PROJECT POLICY_FILE
ジョブの種類に基づいてジョブを再試行する権限を付与する
このセクションのバインディングでは、ジョブの種類に基づいて、Cloud Deploy ジョブを再試行する権限をプリンシパルに付与します。
次のバインドを含むポリシー ファイルを作成します。
bindings: - role: roles/clouddeploy.operator members: - serviceAccount:prod_operator@project-12345.iam.gserviceaccount.com condition: expression: api.getAttribute("clouddeploy.googleapis.com/jobType", "") == "deploy" title: Retry deploy job
このロール バインディングでは、
condition
が Key-Value ペアを受け取ります。ここで、キーはexpression
、値は CEL 式です。 この式は、リクエストについての一連のコンテキスト属性を参照し、ブール値として評価します。この場合、プリンシパルがジョブの再試行を試みると、式が評価され、ジョブタイプが式のジョブタイプと一致することを確認します。
式は API 属性
clouddeploy.googleapis.com/jobType
を使用します。これはdeploy
またはverify
のいずれかです。特定のデリバリー パイプラインのバインディングを設定します。
gcloud deploy delivery-pipelines set-iam-policy PIPELINE_NAME --region=REGION POLICY_FILE
すべての配信パイプラインにこのバインディングを設定する場合は、プロジェクト レベルで設定します。
gcloud projects set-iam-policy PROJECT POLICY_FILE