カスタムロールを作成する

このページでは、Google Distributed Cloud(GDC)エアギャップでカスタムロールを作成して管理する方法について説明します。カスタムロールを使用すると、事前定義ロールで使用可能な標準の権限セットを超えてアクセスを管理し、特定の条件を満たすように権限を構成できます。

カスタムロールは最小権限の原則に従っており、機密性の高いタスクに必要な最小限のアクセス権を付与し、セキュリティ リスクを軽減し、利益相反を防ぐのに役立ちます。

カスタムロールを作成すると、次のことができます。

  • アクセス範囲を定義する: 権限を組織全体、すべてのプロジェクトに適用するか、特定のプロジェクトに制限するかを選択します。
  • 詳細なアクセス権を調整する: 事前定義ロールですでに使用可能な権限を 1 つ以上選択して、特定のタスクや責任へのアクセス権をカスタマイズします。

詳細については、事前定義ロールの説明ロール定義をご覧ください。

始める前に

カスタムロールのアクセス権は、組織レベルとプロジェクト レベルの両方で管理されます。カスタムロールへのアクセス権は、作成された組織またはプロジェクト内でのみ付与できます。

カスタムロールを作成して管理するために必要な権限を取得するには、次のいずれかのロールを付与するよう管理者に依頼してください。

  • カスタムロールの組織管理者

    組織またはプロジェクト内でカスタムロールを作成して管理します。このロールには、カスタムロールの更新、一覧表示、表示、無効化、削除を行う権限が含まれます。

    組織の IAM 管理者ユーザーは、このロールを付与できます。

  • カスタムロールのプロジェクト管理者

    プロジェクト内でカスタムロールを作成して管理します。このロールには、カスタムロールの更新、一覧表示、表示、無効化、削除を行う権限が含まれています。

    このロールを付与できるのは、プロジェクト IAM 管理者ユーザーです。

組織プロジェクトのロールの権限の割り当てについて確認する。

カスタムロールの作成

カスタムロールは、ユーザーに割り当てることができる権限のグループです。事前定義ロールの権限をグループ化して、新しいカスタムロールを作成できます。カスタムロールは、基盤となる事前定義ロールの IAM マルチゾーン機能を継承します。

GDC コンソールまたは gdcloud CLI を使用してカスタムロールを作成します。

コンソール

  1. GDC コンソールにログインします。
  2. プロジェクト セレクタで、カスタムロールを作成する組織またはプロジェクトを選択します。
  3. ナビゲーション メニューで、[ID とアクセス] > [ロール] をクリックします。
  4. [カスタムの役割を作成] をクリックします。
  5. [タイトル] フィールドに、カスタムロールのタイトルを入力します。
  6. [説明] フィールドに、カスタムロールの目的の説明を入力します。

  7. [ID] フィールドに、カスタムロールの一意の識別子を入力します。

    カスタムロール ID は 10 文字以下の英小文字の英数字で、ロールの作成後に変更することはできません。

  8. [リリース段階] を選択します。

  9. カスタムロールのスコープを選択します。

    [組織] を選択すると、カスタムロールは組織内のすべてのリソースに適用されます。[プロジェクト] を選択すると、カスタムロールは組織内の現在と将来のすべてのプロジェクトに適用されます。カスタムロールにアクセスできるプロジェクトを指定する場合は、[選択したプロジェクトに制限する] を選択します。

  10. [権限を追加] をクリックします。

  11. カスタムロールに割り当てる 1 つ以上のサポートされている権限の横にあるチェックボックスをオンにします。

    使用可能な権限は、選択したスコープに限定されます。権限を追加した後にスコープを変更する場合は、以前に割り当てられたすべての権限がリセットされることを確認する必要があります。

  12. [保存] をクリックします。

  13. [作成] をクリックします。

    新しいカスタムロールが [ロール] ページに表示されます。

gdcloud

  1. gdcloud CLI がインストールされていることを確認します。詳細については、gdcloud CLI の概要ページをご覧ください。

  2. カスタムロールを作成します。

    gdcloud iam roles create ROLE_ID \
  --title=TITLE \
  --description=DESCRIPTION \
  --permissions=PERMISSIONS

    次の必須要素を置き換えます。

    • ROLE_ID: カスタムロールの固有識別子。カスタムロール ID は 10 文字以下の英小文字で、ハイフンとピリオドを使用できます。カスタムロール ID は、ロールの作成後に変更できません。
    • TITLE: カスタムロールのわかりやすいタイトル。
    • DESCRIPTION: カスタムロールの目的の説明。
    • PERMISSIONS: カスタムロールに付与されたサポート対象の権限のリスト。

    または、YAML ファイルでカスタムロールを定義し、--file フラグを使用することもできます。

    gdcloud iam roles create ROLE_ID --file=YAML_FILE_PATH

    YAML_FILE_PATH は、必須フラグと省略可フラグを含む YAML ファイルのパスに置き換えます。--file フラグを使用すると、--title--description--permissions などの他のすべてのフラグは無視されます。

    必須フラグとオプション フラグの一覧と使用例については、gdcloud iam roles create をご覧ください。

カスタムロールを管理する

カスタムロールのライフサイクルを管理する責任はお客様にあります。Distributed Cloud に新しい権限、機能、サービスが追加されると、事前定義ロールが更新されます。事前定義ロールの削除や、事前定義ロールからの権限の削除などの更新を行うと、それらの権限に依存するカスタムロールが機能しなくなる可能性があります。これらの更新をモニタリングし、影響を受けるカスタムロールを手動で調整して、想定どおりに機能し続けるようにする必要があります。

カスタムロールは編集、無効化、削除できますが、事前定義されたロールは編集、無効化、削除できません。

ロールのリストを表示する

使用可能な事前定義ロールとカスタムロールのリストを表示するには、GDC コンソールまたは gdcloud CLI を使用します。

コンソール

  1. GDC コンソールにログインします。
  2. プロジェクト セレクタで、ロールを表示する組織またはプロジェクトを選択します。

  3. ナビゲーション メニューで、[ID とアクセス] > [ロール] をクリックします。

    使用可能な事前定義ロールとカスタムロールのリストが表示されます。

gdcloud

  1. gdcloud CLI がインストールされていることを確認します。詳細については、gdcloud CLI の概要ページをご覧ください。

  2. ロールを一覧表示する:

    gdcloud iam roles list ROLE_TYPE \
  --project=PROJECT

    次の要素を置き換えます。

    • ROLE_TYPE: predefinedcustomall のいずれか。
    • PROJECT: ロールを表示するプロジェクトの Namespace。--project フラグが指定されていない場合、組織スコープのロールが一覧表示されます。

    詳細と使用例については、gdcloud iam roles list をご覧ください。

カスタムロールを編集する

GDC コンソールまたは gdcloud CLI を使用してカスタムロールを編集します。

コンソール

  1. GDC コンソールにログインします。
  2. プロジェクト セレクタで、カスタムロールを編集する組織またはプロジェクトを選択します。
  3. ナビゲーション メニューで、[ID とアクセス] > [ロール] をクリックします。
  4. ロールのリストから、編集するカスタムロールを選択します。
  5. カスタムロールの詳細ページで、[編集] をクリックします。
  6. カスタムロールの詳細(タイトル、説明、ID、リリース ステージなど)を編集します。
  7. 必要に応じて、割り当てられた権限を追加または削除します。
    1. [権限を追加] をクリックして、利用可能な権限のリストから選択します。
    2. 割り当てられた権限を削除するには、削除する権限の横にあるチェックボックスをオンにして、[削除] をクリックします。

  8. [保存] をクリックします。

    変更が保存されたことを確認するメッセージが表示されます。

gdcloud

  1. gdcloud CLI がインストールされていることを確認します。詳細については、gdcloud CLI の概要ページをご覧ください。

  2. カスタムロールを編集する:

    gdcloud iam roles update ROLE_ID \
  --title=TITLE \
  --description=DESCRIPTION \
  --permissions=PERMISSIONS

    次の必須要素を置き換えます。

    • ROLE_ID: カスタムロールの固有識別子。
    • TITLE: カスタムロールのわかりやすいタイトル。
    • DESCRIPTION: カスタムロールの目的の説明。
    • PERMISSIONS: カスタムロールに付与されたサポート対象の権限のリスト。

    または、YAML ファイルでカスタムロールを更新し、--file フラグを使用することもできます。

    gdcloud iam roles update ROLE_ID --file=YAML_FILE_PATH

    YAML_FILE_PATH は、更新された必須フラグと省略可フラグを含む YAML ファイルのパスに置き換えます。--file フラグを使用すると、--title--description--permissions などの他のすべてのフラグは無視されます。

    必須フラグとオプション フラグの一覧と使用例については、gdcloud iam roles update をご覧ください。

カスタムロールを無効にする

無効にしたカスタムロールはロールのリストに残っており、ユーザーに割り当てることもできますが、ロールは有効になりません。カスタムロールはいつでも再度有効にできます。

GDC コンソールまたは gdcloud CLI を使用してカスタムロールを無効にします。

コンソール

  1. GDC コンソールにログインします。
  2. プロジェクト セレクタで、カスタムロールを無効にする組織またはプロジェクトを選択します。
  3. ナビゲーション メニューで、[ID とアクセス] > [ロール] をクリックします。
  4. ロールのリストで、無効にするカスタムロールを選択します。
  5. カスタムロールの詳細ページで、[無効にする] をクリックします。

gdcloud

  1. gdcloud CLI がインストールされていることを確認します。詳細については、gdcloud CLI の概要ページをご覧ください。

  2. カスタムロールを無効にする:

    gdcloud iam roles update ROLE_ID --stage=DISABLED

    次の必須要素を置き換えます。

    • ROLE_ID: カスタムロールの固有識別子。

    詳細については、gdcloud iam roles update をご覧ください。

カスタムロールを削除する

カスタムロールの削除は、gdcloud CLI でのみサポートされています。削除されたロールはシステムから完全に削除されますが、同じ名前の新しいロールを作成することはできます。

gdcloud CLI を使用してカスタムロールを削除します。

  1. gdcloud CLI がインストールされていることを確認します。詳細については、gdcloud CLI の概要ページをご覧ください。

  2. カスタムロールを削除する:

    gdcloud iam roles delete ROLE_ID --project=PROJECT

    次のように置き換えます。

    • ROLE_ID: カスタムロールの一意の識別子。
    • PROJECT: カスタムロールを削除するプロジェクトの Namespace。--project フラグが指定されていない場合、組織スコープのロールが削除されます。

    詳細と使用例については、gdcloud iam roles delete をご覧ください。