リソースベースのアクセスを構成する

このトピックでは、許可ポリシーで条件付きロール バインディングを使用して、特定のリソースへのアクセスを管理する方法について説明します。条件式でリソース属性を使用すると、リソース名、リソースタイプ、Google Cloud サービスに基づいてロール バインディングのサブスコープを付与できます。

始める前に

• IAM の条件付きロール バインディングの基本については、Identity and Access Management（IAM）Conditions の概要をご覧ください。
• 条件式で使用できるリソース属性を確認してください。
• リソース名属性では、次の Google Cloud サービスへのアクセスを制御できます。
  • Apigee
  • Application Integration
  • BigQuery
  • Binary Authorization
  • Bigtable
  • Cloud Key Management Service
  • Cloud Logging
  • Spanner
  • Cloud SQL
  • Cloud Storage
  • Compute Engine
  • Dataform
  • Google Kubernetes Engine
  • Integration Connectors
  • Pub/Sub Lite
  • Secret Manager

必要なロール

条件付きロール バインディングの管理に必要な権限を取得するには、次の IAM ロールを付与するよう管理者に依頼してください。

• プロジェクトへのアクセスを管理する: プロジェクトに対するプロジェクト IAM 管理者（roles/resourcemanager.projectIamAdmin）
• フォルダへのアクセスを管理する: フォルダに対するフォルダ管理者（roles/resourcemanager.folderAdmin）
• プロジェクト、フォルダ、組織へのアクセスを管理する: 組織に対する組織管理者（roles/resourcemanager.organizationAdmin）
• ほぼすべての Google Cloud リソースへのアクセスを管理する: リソースへのアクセスを管理するプロジェクト、フォルダ、または組織に対するセキュリティ管理者（roles/iam.securityAdmin）

ロールの付与の詳細については、アクセスの管理をご覧ください。

これらの事前定義ロールには、条件付きロール バインディングの管理に必要な権限が含まれています。必要な権限を正確に確認するには、[必要な権限] セクションを開いてください。

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

リソース名の接頭辞に基づいてリソースのグループにアクセス権を付与する

条件付きロール バインディングを使用すると、リソース名が接頭辞と一致するリソースのプリンシパルに、名前が特定の文字列で始まる Compute Engine 仮想マシン（VM）インスタンスなどのアクセスを付与できます。通常、リソース名接頭辞は、特定の機能向けのリソースや特定のプロパティを持つリソースをグループ化するために使用します。

次に例を示します。ソフトウェア企業の ExampleCo は、機密性の高いヘルスケア データを処理する特定の VM インスタンスでワークロードを実行しています。その他の機密性の低いワークロードは同じプロジェクトで実行する必要があり、ExampleCo はデベロッパーが機密データを処理する VM インスタンスへのアクセスを制限しなければなりません。この目的のために、機密性の高いデータが含まれる VM インスタンスの名前には sensitiveAccess 接頭辞が付き、他の VM インスタンスの名前には devAccess 接頭辞が付きます。次に、条件付きロール バインディングを使用して、デベロッパーが通常の devAccess VM インスタンスで生産性を維持できるようにしますが、sensitiveAccess VM インスタンスへのアクセスは付与しません。

resource.name 条件属性のみを使用してアクセスを管理できますが、resource.type 属性と resource.service 属性も使用するのが一般的です。このような追加属性を使用すると、類似した名前の異なるリソースタイプへのアクセスに条件が影響する可能性が低くなります。このセクションの例では、resource.name と resource.type 属性の両方を使用してアクセスを制御します。

プロジェクト内の Compute Engine ディスクとインスタンスに名前接頭辞を使用してアクセスを許可するには、次を行います。

gcloud projects get-iam-policy project-id --format=json > filepath

{
  "bindings": [
    {
      "members": [
        "user:project-owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "group:devs@example.com"
      ],
      "role": "roles/compute.instanceAdmin"
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 1
}

{
  "bindings": [
    {
      "members": [
        "user:project-owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "group:devs@example.com"
      ],
      "role": "roles/compute.instanceAdmin",
      "condition": {
          "title": "Dev_access_only",
          "description": "Only access to devAccess* VMs",
          "expression":
            "(resource.type == 'compute.googleapis.com/Disk' &&
            resource.name.startsWith('projects/project-123/regions/us-central1/disks/devAccess')) ||
            (resource.type == 'compute.googleapis.com/Instance' &&
            resource.name.startsWith('projects/project-123/zones/us-central1-a/instances/devAccess')) ||
            (resource.type != 'compute.googleapis.com/Instance' &&
            resource.type != 'compute.googleapis.com/Disk')"
      }
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 3
}

gcloud projects set-iam-policy project-id filepath

POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy" | Select-Object -Expand Content

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:project-owner@example.com"
      ]
    },
    {
      "members": [
        "group:devs@example.com"
      ],
      "role": "roles/compute.instanceAdmin"
    }
  ]
}

{
  "version": 3,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:project-owner@example.com"
      ]
    },
    {
      "role": "roles/compute.instanceAdmin",
      "members": [
        "group:devs@example.com"
      ],
      "condition": {
          "title": "Dev_access_only",
          "description": "Only access to devAccess* VMs",
          "expression":
            "(resource.type == 'compute.googleapis.com/Disk' &&
            resource.name.startsWith('projects/project-123/regions/us-central1/disks/devAccess')) ||
            (resource.type == 'compute.googleapis.com/Instance' &&
            resource.name.startsWith('projects/project-123/zones/us-central1-a/instances/devAccess')) ||
            (resource.type != 'compute.googleapis.com/Instance' &&
            resource.type != 'compute.googleapis.com/Disk')"
      }
    }
  ]
}

POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy

{
  "policy": {
    "version": 3,
    "etag": "BwWKmjvelug=",
    "bindings": [
      {
        "role": "roles/owner",
        "members": [
          "user:project-owner@example.com"
        ]
      },
      {
        "role": "roles/compute.instanceAdmin",
        "members": [
          "group:devs@example.com"
        ],
        "condition": {
          "title": "Dev_access_only",
          "description": "Only access to devAccess* VMs",
          "expression":
            "(resource.type == 'compute.googleapis.com/Disk' &&
            resource.name.startsWith('projects/project-123/regions/us-central1/disks/devAccess')) ||
            (resource.type == 'compute.googleapis.com/Instance' &&
            resource.name.startsWith('projects/project-123/zones/us-central1-a/instances/devAccess')) ||
            (resource.type != 'compute.googleapis.com/Instance' &&
            resource.type != 'compute.googleapis.com/Disk')"
        }
      }
    ]
  }
}

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy" | Select-Object -Expand Content

リソース名から値を抽出する

上記の例では、リソース名またはリソース名の先頭と別の値のブール値比較を示しています。ただし、ある値を、リソース名の先頭にない部分と比較する必要がある場合もあります。

たとえば、extract() 関数を使用して抽出テンプレートを指定し、リソース名の関連部分を文字列として抽出できます。必要に応じて、抽出した文字列をタイムスタンプなどの別の型に変換できます。リソース名から値を抽出すると、その値を他の値と比較できます。

次の例では、extract() 関数を使用する条件式を示しています。extract() 関数の詳細については、IAM Conditions 属性のリファレンスをご覧ください。

例: 過去 30 日間の注文の照合

注文情報を複数の Cloud Storage バケットに格納し、各バケット内のオブジェクトが日付順に整理されているとします。一般的なオブジェクト名は、次の例のようになります。

projects/_/buckets/acme-orders-aaa/objects/data_lake/orders/order_date=2019-11-03/aef87g87ae0876

プリンシパルが過去 30 日間のすべての注文にアクセスできるようにします。次の条件は、これらの注文の Cloud Storage オブジェクトと一致します。duration() と date() 関数を使用して、リクエスト日から 30 日分（2,592,000 秒）を減算して、そのタイムスタンプを注文日と比較します。

resource.type == 'storage.googleapis.com/Object' &&
  request.time - duration('2592000s') < date(resource.name.extract('/order_date={date_str}/'))

date() と duration() 関数の詳細については、日時属性の参照をご覧ください。

例: 任意のロケーションの Compute Engine VM の照合

VM のロケーションに関係なく、名前が dev- で始まる Compute Engine VM のプリンシパルにプロジェクト レベルのロールを付与するとします。また、プリンシパルが、他のすべてのリソースタイプでそのロールを使用できるようにするとします。

VM のリソース名は、projects/project-id/zones/zone-id/instances/instance-name のような形式を使用します。文字列 dev- で始まるインスタンス名の VM と、VM 以外のすべてのリソースタイプの場合、次の条件は true と評価されます。

resource.type != 'compute.googleapis.com/Instance' ||
  resource.name.extract('/instances/{name}').startsWith('dev-')

中かっこ内のテキストは、比較のために抽出されたリソース名の部分を識別します。この例では、抽出テンプレートは文字列 /instances/ が最初に出現した後に任意の文字を抽出します。

リソースベースの条件に関する重要な使用上の考慮事項

リソースベースの条件を追加する場合は、条件がプリンシパルの権限にどのように影響するかを考慮することが重要です。

カスタムロール

カスタムロールにかかわる次の例を考えてみましょう。管理者には、カスタムロールを作成して、アクセス権を付与し、VM インスタンスを作成するという目的があります。ただし、ユーザーに許可するのは、リソース名が名前の接頭辞 staging で始まるプロジェクト内に、同じ名前の接頭辞のディスクを使用して、VM インスタンスを作成することのみです。

この目的のためには、付与されたロールに VM インスタンスを作成するための必要な権限が含まれていることを確認します。これは、ディスク リソースとインスタンス リソース タイプに対する権限です。次に、条件式でリソース名のディスクとインスタンスの両方を確認します。この 2 つのタイプ以外では、ロールの他の権限は付与されません。

次の条件式では、予期しない動作が発生します。Compute Engine VM を操作する権限がブロックされています。

resource.type == 'compute.googleapis.com/Disk' &&
 resource.name.startsWith('projects/project-123/regions/us-central1/disks/staging')

次の条件式にはディスクとインスタンスの両方が含まれ、この 2 つのタイプのリソース名に基づいてアクセスが管理されます。

(resource.type == 'compute.googleapis.com/Disk' &&
  resource.name.startsWith('projects/project-123/regions/us-central1/disks/staging')) ||
 (resource.type == 'compute.googleapis.com/Instance' &&
  resource.name.startsWith('projects/project-123/zones/us-central1-a/instances/staging'))

次の条件式にはディスクとインスタンスの両方が含まれ、この 2 つのタイプのリソース名に基づいてアクセスが管理されます。他のリソースタイプについては、リソース名に関係なくこの条件式でロールが付与されます。

(resource.type == 'compute.googleapis.com/Disk' &&
  resource.name.startsWith('projects/project-123/regions/us-central1/disks/staging')) ||
 (resource.type == 'compute.googleapis.com/Instance' &&
  resource.name.startsWith('projects/project-123/zones/us-central1-a/instances/staging')) ||
 (resource.type != 'compute.googleapis.com/Disk' &&
  resource.type != 'compute.googleapis.com/Instance')

親のみの権限

Google Cloud のリソース階層では、子リソースに影響するロールの一部の権限は、親レベルでのみ適用されます。たとえば、Cloud KMS の暗号鍵をリストするには、ユーザーには、鍵自体ではなく暗号鍵を含むキーリングに対する cloudkms.cryptokeys.list 権限が付与される必要があります。このような種類の権限は親限定権限と呼ばれ、list オペレーションにのみ適用されます。

条件を使用する際の *.*.list 権限へのアクセス権を適切に付与するには、一覧表示するターゲット リソースの親リソースタイプに従って、条件式で resource.service 属性と resource.type 属性を設定する必要があります。

以下の例を考えてみましょう。前述の Compute Engine の例を使用すると、次の式では、compute.disks.list と compute.instances.list 権限へのアクセス権が防止されます。この権限が防止されるリソースは、cloudresourcemanager.googleapis.com/Project の resource.type 属性値を持つためです。

(resource.type == 'compute.googleapis.com/Disk' &&
  resource.name.startsWith('projects/project-123/regions/us-central1/disks/devAccess')) ||
 (resource.type == 'compute.googleapis.com/Instance' &&
  resource.name.startsWith('projects/project-123/zones/us-central1-a/instances/devAccess'))

一般的に、この list 権限は、リソースに対する通常の操作のための他の権限とともに付与されます。この場合の付与の範囲を増やすには、cloudresourcemanager.googleapis.com/Project タイプの範囲のみを拡張するか、インスタンスまたはディスク以外のすべての権限に範囲を拡張します。

(resource.type == 'compute.googleapis.com/Disk' &&
  resource.name.startsWith('projects/project-123/regions/us-central1/disks/devAccess')) ||
 (resource.type == 'compute.googleapis.com/Instance' &&
  resource.name.startsWith('projects/project-123/zones/us-central1-a/instances/devAccess')) ||
 resource.type == 'cloudresourcemanager.googleapis.com/Project'

または

(resource.type == 'compute.googleapis.com/Disk' &&
  resource.name.startsWith('projects/project-123/regions/us-central1/disks/devAccess')) ||
 (resource.type == 'compute.googleapis.com/Instance' &&
  resource.name.startsWith('projects/project-123/zones/us-central1-a/instances/devAccess')) ||
 (resource.type != 'compute.googleapis.com/Disk' &&
  resource.type != 'compute.googleapis.com/Instance')