認証情報のアクセス境界を使用したスコープの限定

このページでは、認証情報アクセス境界を使用して、有効期間が短い認証情報で使用できる Identity and Access Management(IAM)権限の範囲を限定する方法について説明します。

権限の範囲を限定するには、各リソースで使用できる権限の上限と、有効期間が短い認証情報でアクセスできるリソースを指定する認証情報アクセス境界を定義します。その後、有効期間が短い認証情報を作成し、認証情報アクセス境界を遵守する新しい認証情報に交換できます。

次の例は、シンプルな認証情報アクセス境界を示しています。これは Cloud Storage バケット example-bucket に適用され、ストレージ オブジェクト閲覧者ロール(roles/storage.objectViewer)に含まれる権限の上限を設定します。

{
  "accessBoundaryRules": [
    {
      "availablePermissions": [
        "inRole:roles/storage.objectViewer"
      ],
      "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
    }
  ]
}

メンバーにセッションごとに個別の権限セットを割り当てる必要がある場合は、さまざまなサービス アカウントを作成し、各サービス アカウントに異なるロールセットを付与するよりも、認証情報アクセス境界を使用する方が効率的な場合があります。たとえば、管理している Cloud Storage データに、あるお客様がアクセスすることが必要な場合、所有するすべての Cloud Storage バケットにアクセスできるサービス アカウントを作成してから、お客様のデータのあるバケットに対するアクセスのみを許可する認証情報アクセス境界を適用します。

始める前に

認証情報アクセス境界を使用する前に、次の要件を満たしていることを確認してください。

  • Cloud Storage の権限のみ範囲を限定する必要があります。他の Google Cloud サービスには必要ありません。

    追加の Google Cloud サービスの権限の範囲を限定する必要がある場合は、複数のサービス アカウントを作成し、各サービス アカウントに異なるロールを付与できます。

  • オブジェクト レベルではなく、バケットレベルで権限の範囲を限定する必要があります。

  • 均一なバケットレベルのアクセスを使用して、Cloud Storage リソースへのアクセスを管理します。

  • 認証には OAuth 2.0 アクセス トークンを使用できます。他のタイプの有効期間が短い認証情報は、認証情報アクセス境界をサポートしません。

範囲が限定された有効期間が短い認証情報を作成する

範囲が限定された OAuth 2.0 アクセス トークンを作成する方法は次のとおりです。

  1. ユーザーまたはサービス アカウントに、適切な IAM ロールを付与します。
  2. ユーザーまたはサービス アカウントが使用できる権限の上限を設定する、認証情報アクセス境界を定義します。
  3. ユーザーまたはサービス アカウントの OAuth 2.0 アクセス トークンを作成します。
  4. 認証情報アクセス境界を遵守する新しい認証トークンと OAuth 2.0 アクセス トークンを交換します。

範囲が限定された新しい OAuth 2.0 アクセス トークンを使用して、Cloud Storage へのリクエストを認証できます。

IAM ロールの付与

認証情報アクセス境界は、リソースで使用可能な権限の上限を設定します。メンバーから権限を削除することはできますが、メンバーに付与されていない権限は追加できません。

そのため、必要な権限を付与するメンバーにも Cloud Storage バケットまたはプロジェクトなどより高いレベルのリソースでロールを付与する必要があります。

たとえば、サービス アカウントがバケット内にオブジェクトを作成することを許可する、範囲が限定された有効期間が短い認証情報を作成するとします。

  • サービス アカウントには、少なくともストレージのオブジェクト作成者ロール(roles/storage.objectCreator)などの storage.objects.create 権限を付与する必要があります。認証情報アクセス境界には、この権限も含める必要があります。
  • また、ストレージ オブジェクト管理者ロール(roles/storage.objectAdmin)など、より多くの権限を含むロールを付与することもできます。サービス アカウントで使用できるのは、ロール付与と認証情報アクセス境界の両方に表示される権限のみです。

認証情報アクセス境界の定義

認証情報アクセス境界は、アクセス境界ルールのリストを含む JSON オブジェクトです。各ルールには次の情報が含まれます。

  • ルールが適用されるリソース
  • そのリソースで使用できる権限の上限

認証情報アクセス境界を有効期間の短い認証情報に適用すると、認証情報は認証情報アクセス境界内のリソースにのみアクセスできます。他のリソースでは権限は使用できません。

認証情報アクセス境界には、最大 10 個のアクセス境界ルールを含めることができます。有効期間の短い認証情報ごとに適用できる認証情報アクセス境界は 1 つのみです。

認証情報アクセス境界には次のフィールドがあります。

フィールド
accessBoundaryRules[]

object

有効期間の短い認証情報に適用されるアクセス境界ルールのリスト。

accessBoundaryRules[].availablePermissions[]

string

リソースに対して使用可能な権限の上限を定義するリスト。

接頭辞 inRole: の付いた各値は、IAM の事前定義ロールまたはカスタムロールの識別子です。例: inRole:roles/storage.objectViewer。こうしたロールに含まれる権限のみが使用できます。

accessBoundaryRules[].availableResource

string

ルールが適用される Cloud Storage バケットの完全なリソース名。形式 //storage.googleapis.com/projects/_/buckets/bucket-name を使用します。

次の例は、複数のリソースのルールを含む認証情報アクセス境界を示しています。

  • Cloud Storage バケット example-bucket-1。このバケットの場合、ストレージ オブジェクト閲覧者ロール(roles/storage.objectViewer)の権限のみが使用できます。
  • Cloud Storage バケット example-bucket-2。このバケットの場合、ストレージ オブジェクト作成者ロール(roles/storage.objectCreator)の権限のみが使用できます。
{
  "accessBoundaryRules": [
    {
      "availablePermissions": [
        "inRole:roles/storage.objectViewer"
      ],
      "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
    },
    {
      "availablePermissions": [
        "inRole:roles/storage.objectCreator"
      ],
      "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
    }
  ]
}

認証情報アクセス境界を定義する JSON ファイルを作成します。このファイルは後の手順で使用します。

OAuth 2.0 アクセス トークンの作成

範囲が限定された有効期間の短い認証情報を作成する前に、通常の OAuth 2.0 アクセス トークンを作成する必要があります。その後、通常の認証情報を範囲が限定された認証情報と交換できます。アクセス トークンを作成する際は、OAuth 2.0 スコープ https://www.googleapis.com/auth/cloud-platform を使用します。

サービス アカウントのアクセス トークンを作成するには、サーバー間の OAuth 2.0 フローを完了するか、サービス アカウント認証情報 API を使用して OAuth 2.0 アクセス トークンを生成します。

ユーザーのアクセス トークンを作成する方法については、OAuth 2.0 アクセス トークンの取得をご覧ください。OAuth 2.0 Playground を使用して、ご自分の Google アカウントのアクセス トークンを作成することもできます。

OAuth 2.0 アクセス トークンの交換

OAuth 2.0 アクセス トークンを作成したら、アクセス トークンを認証情報アクセス境界を遵守する新しい認証トークンと交換できます。Identity Platform の一部であるセキュリティ トークン サービスを介してアクセス トークンを交換します。

アクセス トークンを交換するには、次の HTTP メソッドと URL を使用します。

POST https://securetoken.googleapis.com/v2beta1/token

リクエストの Content-Type ヘッダーを application/x-www-form-urlencoded に設定します。リクエスト本文に次のフィールドを含めます。

フィールド
access_boundary

string

パーセントでエンコードされた認証情報アクセス境界。

grant_type

string

urn:ietf:params:oauth:grant-type:token-exchange を使用します。

requested_token_type

string

urn:ietf:params:oauth:token-type:access_token を使用します。

subject_token

string

交換する OAuth 2.0 アクセス トークン。

subject_token_type

string

urn:ietf:params:oauth:token-type:access_token を使用します。

レスポンスは、次のフィールドを含む JSON オブジェクトです。

フィールド
access_token

string

認証情報アクセス境界を遵守する新しい OAuth 2.0 アクセス トークン。

expires_in

number

新しいアクセス トークンが期限切れになるまでの秒数。

このフィールドは、元のアクセス トークンがサービス アカウントを表す場合にのみ存在します。このフィールドが存在しない場合、新しいアクセス トークンの有効期限は元のアクセス トークンと同じになります。

issued_token_type

string

urn:ietf:params:oauth:token-type:access_token という値が含まれます。

token_type

string

Bearer という値が含まれます。

たとえば、認証情報アクセス境界が ./access-boundary.json ファイルに保存されている場合、次の curl コマンドを使用してアクセス トークンを交換できます。original-token は元のアクセス トークンに置き換えます。

curl -H "Content-Type:application/x-www-form-urlencoded" \
    -X POST \
    https://securetoken.googleapis.com/v2beta1/token \
    -d "grant_type=urn:ietf:params:oauth:grant-type:token-exchange&subject_token_type=urn:ietf:params:oauth:token-type:access_token&requested_token_type=urn:ietf:params:oauth:token-type:access_token&subject_token=original-token" \
    --data-urlencode "access_boundary=$(cat ./access-boundary.json)"

レスポンスは次の例のようになります。

{
  "access_token": "ya29.dr.AbCDeFg-123456...",
  "issued_token_type": "urn:ietf:params:oauth:token-type:access_token",
  "token_type": "Bearer",
  "expires_in": 3600
}

次のステップ