認証情報のアクセス境界を使用したスコープの限定

このページでは、認証情報アクセス境界を使用して、有効期間が短い認証情報で使用できる Identity and Access Management(IAM)権限の範囲を限定する方法について説明します。

認証情報アクセス境界の仕組み

権限の範囲を限定するには、各リソースで使用できる権限の上限と、有効期間が短い認証情報でアクセスできるリソースを指定する認証情報アクセス境界を定義します。その後、有効期間が短い認証情報を作成し、認証情報アクセス境界を遵守する新しい認証情報に交換できます。

メンバーにセッションごとに異なる権限セットを割り当てる必要がある場合は、サービス アカウントを多数作成して各サービス アカウントに異なるロールセットを付与するよりも、認証情報アクセス境界を使用する方が効率的な場合があります。たとえば、管理している Cloud Storage データに、あるお客様がアクセスすることが必要な場合、所有するすべての Cloud Storage バケットにアクセスできるサービス アカウントを作成してから、お客様のデータのあるバケットに対するアクセスのみを許可する認証情報アクセス境界を適用します。

認証情報アクセス境界の例

以降のセクションでは、一般的なユースケースの認証情報アクセス境界の例を示します。

バケットの権限を制限する

次の例は、シンプルな認証情報アクセス境界を示しています。これは Cloud Storage バケット example-bucket に適用され、ストレージ オブジェクト閲覧者ロール(roles/storage.objectViewer)に含まれる権限の上限を設定します。

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
      }
    ]
  }
}

複数のバケットの権限を制限する

次の例は、複数のバケットのルールを含む認証情報アクセス境界を示しています。

  • Cloud Storage バケット example-bucket-1: このバケットの場合、ストレージ オブジェクト閲覧者のロール(roles/storage.objectViewer)の権限のみが使用できます。
  • Cloud Storage バケット example-bucket-2: このバケットの場合、ストレージ オブジェクト作成者のロール(roles/storage.objectCreator)の権限のみが使用できます。
{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
      },
      {
        "availablePermissions": [
          "inRole:roles/storage.objectCreator"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
      }
    ]
  }
}

特定のオブジェクトの権限を制限する

IAM Conditions を使用して、メンバーがアクセスできる Cloud Storage オブジェクトを指定することもできます。たとえば、名前が customer-a で始まるオブジェクトにアクセスできるようにする条件を追加できます。

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
        "availabilityCondition": {
          "expression" : "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a')"
        }
      }
    ]
  }
}

オブジェクトを一覧表示するときに権限を制限する

Cloud Storage バケット内のオブジェクトを一覧表示すると、オブジェクト リソースではなく、バケット リソースでメソッドが呼び出されます。そのため、条件が一覧表示のリクエストに関して評価され、その条件がリソース名を参照する場合、リソース名はバケット内のオブジェクトではなく、バケットを表します。たとえば、example-bucket のオブジェクトを一覧表示する場合、リソース名は projects/_/buckets/example-bucket になります。

この命名規則により、オブジェクトを一覧表示するときに予期しない動作が発生することがあります。たとえば、接頭辞 customer-a/invoices/ を持つ example-bucket のオブジェクトに対する表示権限を許可する認証情報アクセス境界があるとします。この認証情報アクセス境界で、次の条件を試した場合を考えます。

不完全な条件: リソース名のみを確認する条件

resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')

この条件はオブジェクトを読み取りには使用できますが、オブジェクトの一覧表示には使用できません。

  • メンバーが接頭辞 customer-a/invoices/ を持つ example-bucket のオブジェクトを読み取ろうとすると、条件は true と評価されます。
  • メンバーがその接頭辞を持つオブジェクトを一覧表示しようとすると、条件は false と評価されます。resource.name の値は projects/_/buckets/example-bucket となり、projects/_/buckets/example-bucket/objects/customer-a/invoices/ で始まりません。

この問題を回避するには、条件が storage.googleapis.com/objectListPrefix という名前の API 属性を確認できるよう resource.name.startsWith() を使用します。この属性には、オブジェクトのリストをフィルタするために使用された prefix パラメータの値が含まれています。これにより、prefix パラメータの値を参照する条件を記述できます。

次の例は、条件で API 属性を使用する方法を示しています。これにより、接頭辞 customer-a/invoices/ を持つ example-bucket のオブジェクトの読み取りと一覧表示ができます。

完全な条件: リソース名と、接頭辞を確認する条件

resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')  ||
    api.getAttribute('storage.googleapis.com/objectListPrefix', '')
                     .startsWith('customer-a/invoices/')

この条件は認証情報アクセス境界で使用できます。

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
        "availabilityCondition": {
          "expression":
            "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '').startsWith('customer-a/invoices/')"
        }
      }
    ]
  }
}

始める前に

認証情報アクセス境界を使用する前に、次の要件を満たしていることを確認してください。

  • Cloud Storage の権限のみ範囲を限定する必要があります。他の Google Cloud サービスには必要ありません。

    追加の Google Cloud サービスの権限の範囲を限定する必要がある場合は、複数のサービス アカウントを作成し、各サービス アカウントに異なるロールを付与できます。

  • 認証には OAuth 2.0 アクセス トークンを使用できます。他のタイプの有効期間が短い認証情報は、認証情報アクセス境界をサポートしません。

範囲が限定された有効期間が短い認証情報を作成する

範囲が限定された OAuth 2.0 アクセス トークンを作成する方法は次のとおりです。

  1. ユーザーまたはサービス アカウントに、適切な IAM ロールを付与します。
  2. ユーザーまたはサービス アカウントが使用できる権限の上限を設定する、認証情報アクセス境界を定義します。
  3. ユーザーまたはサービス アカウントの OAuth 2.0 アクセス トークンを作成します。
  4. 認証情報アクセス境界を遵守する新しい認証トークンと OAuth 2.0 アクセス トークンを交換します。

範囲が限定された新しい OAuth 2.0 アクセス トークンを使用して、Cloud Storage へのリクエストを認証できます。

IAM ロールの付与

認証情報アクセス境界は、リソースで使用可能な権限の上限を設定します。メンバーから権限を削除することはできますが、メンバーに付与されていない権限は追加できません。

そのため、必要な権限を付与するメンバーにも Cloud Storage バケットまたはプロジェクトなどより高いレベルのリソースでロールを付与する必要があります。

たとえば、サービス アカウントがバケット内にオブジェクトを作成することを許可する、範囲が限定された有効期間が短い認証情報を作成するとします。

  • サービス アカウントには、少なくともストレージのオブジェクト作成者ロール(roles/storage.objectCreator)などの storage.objects.create 権限を付与する必要があります。認証情報アクセス境界には、この権限も含める必要があります。
  • また、ストレージ オブジェクト管理者ロール(roles/storage.objectAdmin)など、より多くの権限を含むロールを付与することもできます。サービス アカウントで使用できるのは、ロール付与と認証情報アクセス境界の両方に表示される権限のみです。

Cloud Storage の事前定義ロールについては、Cloud Storage のロールをご覧ください。

認証情報アクセス境界の定義

認証情報アクセス境界は、アクセス境界ルールのリストを含む JSON オブジェクトです。各ルールには次の情報が含まれます。

  • ルールが適用されるリソース
  • そのリソースで使用できる権限の上限
  • 省略可: 権限をさらに制限する条件。条件には次のものが含まれます。
    • true または false で評価される条件式。true と評価された場合にアクセスが許可され、そうでない場合はアクセスが拒否されます。
    • 省略可: 条件を識別するためのタイトル。
    • 省略可: 条件についての詳しい説明。

認証情報アクセス境界を有効期間の短い認証情報に適用すると、認証情報は認証情報アクセス境界内のリソースにのみアクセスできます。他のリソースでは権限は使用できません。

認証情報アクセス境界には、最大 10 個のアクセス境界ルールを含めることができます。有効期間の短い認証情報ごとに適用できる認証情報アクセス境界は 1 つのみです。

認証情報アクセス境界には次のフィールドがあります。

フィールド
accessBoundary

object

認証情報アクセス境界のコンテナ。

accessBoundary.accessBoundaryRules[]

object

有効期間の短い認証情報に適用されるアクセス境界ルールのリスト。

accessBoundary.accessBoundaryRules[].availablePermissions[]

string

リソースに対して使用可能な権限の上限を定義するリスト。

接頭辞 inRole: の付いた各値は、IAM の事前定義ロールまたはカスタムロールの識別子です。例: inRole:roles/storage.objectViewer。こうしたロールに含まれる権限のみが使用できます。

accessBoundary.accessBoundaryRules[].availableResource

string

ルールが適用される Cloud Storage バケットの完全なリソース名。形式 //storage.googleapis.com/projects/_/buckets/bucket-name を使用します。

accessBoundary.accessBoundaryRules[].availabilityCondition

object

省略可。特定の Cloud Storage オブジェクトに対する権限の利用を制限する条件。

このフィールドは、Cloud Storage バケット内のすべてのオブジェクトではなく特定のオブジェクトに対して権限を使用可能にする場合に使用します。

accessBoundary.accessBoundaryRules[].availabilityCondition.expression

string

権限を使用できる Cloud Storage オブジェクトを指定する条件式

条件式で特定のオブジェクトを参照する方法については、resource.name 属性をご覧ください。

accessBoundary.accessBoundaryRules[].availabilityCondition.title

string

省略可。条件の目的を示す短い文字列。

accessBoundary.accessBoundaryRules[].availabilityCondition.description

string

省略可。条件の目的に関する詳細。

例については、このページの認証情報アクセス境界の例をご覧ください。

認証情報アクセス境界を定義する JSON ファイルを作成します。このファイルは後の手順で使用します。

OAuth 2.0 アクセス トークンの作成

範囲が限定された有効期間の短い認証情報を作成する前に、通常の OAuth 2.0 アクセス トークンを作成する必要があります。その後、通常の認証情報を範囲が限定された認証情報と交換できます。アクセス トークンを作成する際は、OAuth 2.0 スコープ https://www.googleapis.com/auth/cloud-platform を使用します。

サービス アカウントのアクセス トークンを作成するには、サーバー間の OAuth 2.0 フローを完了するか、サービス アカウント認証情報 API を使用して OAuth 2.0 アクセス トークンを生成します。

ユーザーのアクセス トークンを作成する方法については、OAuth 2.0 アクセス トークンの取得をご覧ください。OAuth 2.0 Playground を使用して、ご自分の Google アカウントのアクセス トークンを作成することもできます。

OAuth 2.0 アクセス トークンの交換

OAuth 2.0 アクセス トークンを作成したら、アクセス トークンを認証情報アクセス境界に準拠する新しい認証トークンと交換できます。Identity Platform の一部である Security Token Service API を介してアクセス トークンを交換します。

アクセス トークンを交換するには、次の HTTP メソッドと URL を使用します。

POST https://sts.googleapis.com/v1beta/token

リクエストの Content-Type ヘッダーを application/x-www-form-urlencoded に設定します。リクエスト本文に次のフィールドを含めます。

フィールド
grant_type

string

urn:ietf:params:oauth:grant-type:token-exchange を使用します。

options

string

パーセントでエンコードされた認証情報アクセス境界。

requested_token_type

string

urn:ietf:params:oauth:token-type:access_token を使用します。

subject_token

string

交換する OAuth 2.0 アクセス トークン。

subject_token_type

string

urn:ietf:params:oauth:token-type:access_token を使用します。

レスポンスは、次のフィールドを含む JSON オブジェクトです。

フィールド
access_token

string

認証情報アクセス境界を遵守する新しい OAuth 2.0 アクセス トークン。

expires_in

number

新しいアクセス トークンが期限切れになるまでの秒数。

このフィールドは、元のアクセス トークンがサービス アカウントを表す場合にのみ存在します。このフィールドが存在しない場合、新しいアクセス トークンの有効期限は元のアクセス トークンと同じになります。

issued_token_type

string

urn:ietf:params:oauth:token-type:access_token という値が含まれます。

token_type

string

Bearer という値が含まれます。

たとえば、認証情報アクセス境界が ./access-boundary.json ファイルに保存されている場合、次の curl コマンドを使用してアクセス トークンを交換できます。original-token は元のアクセス トークンに置き換えます。

curl -H "Content-Type:application/x-www-form-urlencoded" \
    -X POST \
    https://sts.googleapis.com/v1beta/token \
    -d "grant_type=urn:ietf:params:oauth:grant-type:token-exchange&subject_token_type=urn:ietf:params:oauth:token-type:access_token&requested_token_type=urn:ietf:params:oauth:token-type:access_token&subject_token=original-token" \
    --data-urlencode "options=$(cat ./access-boundary.json)"

レスポンスは次の例のようになります。

{
  "access_token": "ya29.dr.AbCDeFg-123456...",
  "issued_token_type": "urn:ietf:params:oauth:token-type:access_token",
  "token_type": "Bearer",
  "expires_in": 3600
}

次のステップ