生成 AI に推奨されるユーザー グループと Identity and Access Management のロール

次の表に、Google Cloudで生成 AI ワークロードを実行する際の出発点として推奨される Identity and Access Management(IAM)ロールを示します。環境内で職務分掌を実装し、リスク許容度と組織構造に合わせて IAM ロールを構成します。

これらのロールを組織のユーザー グループに割り当てる際は、特定の生成 AI のユースケースとデータアクセス要件に対応するために、よりきめ細かいロールを適用する必要がある場所を検討してください。機密性の高いデータを使用してモデルをトレーニングする環境については、安全な BigQuery データ ウェアハウスにデータをインポートするで、保存されたデータへのアクセスを許可するために使用できるロールの詳細をご覧ください。

次の表に、ロールの推奨事項を示します。基盤となる推奨事項はすべての生成 AI ワークロードに適用し、Vertex AI 固有の推奨事項は Vertex AI を使用する生成 AI ワークロードに適用します。

サービス グループ 説明 IAM ロール

基礎

grp-gcp-org-admin

このグループは、組織に属するリソースを管理します。このロールは慎重に割り当ててください。組織管理者は、すべての Google Cloud リソースにアクセスできます。この機能は高度な権限を使用するため、グループを作成するのではなく、別のアカウントを使用することをおすすめします。
  • 組織管理者(roles/resourcemanager.organizationAdmin
  • フォルダ管理者(roles/resourcemanager.folderAdmin
  • プロジェクト作成者(roles/resourcemanager.projectCreator
  • 請求先アカウント ユーザー(roles/billing.user
  • 組織のロールの管理者(roles/iam.organizationRoleAdmin
  • 組織ポリシー管理者(roles/orgpolicy.policyAdmin
  • セキュリティ センター管理者(roles/securitycenter.admin
  • サポート アカウント管理者(roles/cloudsupport.admin

基礎

grp-gcp-network-admins

このグループは、ネットワーク、サブネット、ファイアウォール ルール、ネットワーク デバイス(Cloud Router、Cloud VPN、クラウド ロードバランサなど)を作成できます。
  • Compute ネットワーク管理者(roles/compute.networkAdmin
  • Compute Shared VPC 管理者(roles/compute.xpnAdmin
  • Compute セキュリティ管理者(roles/compute.securityAdmin
  • フォルダ閲覧者(roles/resourcemanager.folderViewer

基礎

grp-gcp-billing-admin

このグループは、請求先アカウントを設定し、その使用状況をモニタリングします。
  • 請求先アカウント管理者(roles/billing.admin
  • 請求先アカウント作成者(roles/billing.creator
  • 組織閲覧者(roles/resourcemanager.organizationViewer

基礎

grp-gcp-security-admins

このグループは、アクセス管理や組織の制約ポリシーなど、組織全体のセキュリティ ポリシーを確立して管理します。 Google Cloud セキュリティ インフラストラクチャを計画するには、エンタープライズ基盤ブループリントをご覧ください。
  • BigQuery データ閲覧者(roles/bigquery.dataViewer
  • Compute 閲覧者(roles/compute.viewer
  • フォルダ IAM 管理者(roles/resourcemanager.folderIamAdmin
  • Kubernetes Engine 閲覧者(roles/container.viewer
  • ログ構成書き込み(roles/logging.configWriter
  • 組織のロールの閲覧者(roles/iam.organizationRoleViewer
  • 組織ポリシー管理者(roles/orgpolicy.policyAdmin
  • 組織ポリシー閲覧者(roles/orgpolicy.policyViewer
  • プライベート ログ閲覧者(roles/logging.privateLogViewer
  • セキュリティ センター管理者(roles/securitycenter.admin
  • セキュリティ審査担当者(roles/iam.securityReviewer

基礎

grp-gcp-billing-viewer

このグループは、プロジェクトの費用をモニタリングします。通常、グループ メンバーは財務チームのメンバーです。
  • 請求先アカウント閲覧者(roles/billing.viewer

基礎

grp-gcp-platform-viewer

このグループは、 Google Cloud組織全体のリソース情報を確認します。
  • 閲覧者(roles/viewer

基礎

grp-gcp-security-reviewer

このグループはクラウド セキュリティを審査します。
  • セキュリティ審査担当者(roles/iam.securityReviewer

基礎

grp-gcp-network-viewer

このグループはネットワーク構成を審査します。
  • Compute ネットワーク閲覧者(roles/compute.networkViewer

基礎

grp-gcp-audit-viewer

このグループは監査ログを表示します。
  • プライベート ログ閲覧者(roles/logging.privateLogViewer
  • 閲覧者(roles/viewer

基礎

grp-gcp-scc-admin

このグループは Security Command Center を管理します。
  • セキュリティ センター管理者(roles/securitycenter.admin

基礎

grp-gcp-secrets-admin

このグループは Secret Manager のシークレットを管理します。
  • Secret Manager 管理者(roles/secretmanager.admin

Vertex AI 管理者

grp-gcp-vertex-ai-admin

このグループには、Vertex AI 内のすべてのリソースに対する完全アクセス権があります。
  • Vertex AI 管理者(roles/aiplatform.admin)

Vertex AI 閲覧者

grp-gcp-vertex-ai-viewer

このグループは、Vertex AI 内のすべてのリソースを表示します。
  • Vertex AI 閲覧者(roles/aiplatform.viewer

Vertex AI ユーザー

grp-gcp-vertex-ai-user

このグループは、Vertex AI のすべてのリソースを使用します。
  • Vertex AI ユーザー(roles/aiplatform.user

Vertex AI Workbench 管理者

grp-gcp-vertex-ai-notebook-admin

このグループは、Vertex AI Workbench 内のすべてのランタイム テンプレートとランタイムに対する完全アクセス権を持っています。
  • ノートブック ランタイム管理者(roles/aiplatform.notebookRuntimeAdmin

Vertex AI Workbench ユーザー

grp-gcp-vertex-ai-notebook-user

このグループは、ランタイム テンプレートを使用してランタイム リソースを作成し、作成したランタイム リソースを管理します。
  • ノートブック ランタイム ユーザー(roles/aiplatform.notebookRuntimeUser

次のステップ