Identity and Access Management（IAM）

きめ細かなアクセス制御と可視化によってクラウドリソースを一元的に管理

Cloud IAM アイコンがついた雲の前に座っている女性と、手前にあるキーボードがスマートフォン、ノートパソコン、タブレットに接続されているイラスト

エンタープライズクラスのアクセス制御

Identity and Access Management（IAM）を使用すると、管理者は特定のリソースでアクションが許可されるユーザーを指定できるため、Google Cloud リソースを一元管理するための完全な制御と可視化を実現します。組織全体のセキュリティポリシーを管理するための統合ビューが提供され、さらに監査機能も組み込まれているため、数百のワークグループや多数のプロジェクトからなる複雑な組織構造を抱える企業でも、コンプライアンスプロセスが容易になります。

シンプルな構造

組織の内部構造やポリシーは複雑化しやすく、プロジェクト、ワークグループ、ユーザーが持っている権限の管理など、あらゆることが動的に変化します。IAM は、シンプルさを念頭に設計されています。わかりやすい汎用インターフェースにより、Google Cloud のすべてのリソースに対するアクセスを一貫した方法で制御できます。一度使い方を覚えれば、どのような場面にも対応できます。

箇条書きが表示されているモニターのイラスト: 4 つのうち 3 つは青いチェックマークで、2 番目は赤い X です。左上に女性の顔の円形の写真が表示され、右下に鍵のかかった南京錠のアイコンが表示されています

適切なロール

IAM にはリソースの権限を管理するためのツールが用意されており、手間を最大限省き、高度な自動化を実現できます。社内の職務をグループやロールにマッピングすることで、ユーザーはタスクをこなすのに必要なアクセス権のみを取得し、管理者はユーザーグループ全体に対してデフォルトの権限を簡単に付与できます。

背景に雲のシルエットとデベロッパーツールのアイコンがある、線グラフが表示されているモニターのイラスト

スマートアクセス制御

権限の管理は、多大な時間を要する作業になる場合があります。 Recommender の ML を使ったスマートアクセス制御の推奨事項により、管理者は Google Cloud リソースへの不要なアクセスを排除できます。また、セキュリティチームが Recommender を使用することで、制限の緩すぎるアクセス権設定を自動的に検出し、組織内の類似するユーザーとそのアクセスパターンに基づいてアクセス権設定を適正化できます。

インターネットデバイス、セキュリティ、マップピンに接続するネットワークラインの中央にいる男性のイラスト

コンテキストアウェアアクセスによるきめ細かいアクセス制御

IAM では、プロジェクトレベルでのアクセスよりもはるかに細分化されたレベルでクラウドリソースへのアクセスを管理できます。デバイスのセキュリティステータス、IP アドレス、リソースタイプ、日時などの属性に基づいて、リソースに対するきめ細かいアクセス制御ポリシーを作成できます。これらのポリシーにより、クラウドリソースへのアクセスを許可する際に適切なセキュリティ制御を確実に適用できます。

手前にクリップボードがある、テキストリストが表示されているパソコンのモニターのイラスト

組み込み監査証跡でコンプライアンスを合理化

管理者が把握できるよう、権限の認可、削除、委任に関するすべての監査証跡の履歴が自動的に表示されます。IAM を使うことで、リソースに関するビジネスポリシーに注力できるようになり、コンプライアンスの徹底も容易になります。

テキストがグレー表示され、ロックされているパソコンのモニターのイラスト。モニターの中央上部には男性の顔があり、その周囲には半円状のドットに Gmail、Google ドライブ、Google ドキュメントなどのアイコンが描かれています

企業の ID 管理を簡素化

Google Cloud の組み込みマネージド ID である Cloud Identity を利用すれば、さまざまなアプリケーション間やプロジェクト間でユーザーアカウントを簡単に作成、同期できます。また、ユーザーとグループのプロビジョニングや管理、シングルサインオンの設定、2 要素認証プロセス（2FA）の構成を、Google 管理コンソールから直接簡単に行えます。さらに、Google Cloud 組織にアクセスできるため、Resource Manager を介してプロジェクトを集中管理できます。

Workforce Identity 連携

Workforce Identity 連携では、外部 ID プロバイダ（IdP）を使用して、ワークフォース（従業員、パートナー、請負業者などのユーザーグループ）を IAM を使用して認証および認可し、ユーザーが Google Cloud サービスにアクセスできるようにします。Workforce Identity 連携は、ディレクトリ同期の代わりに ID 連携アプローチを使用するため、複数のプラットフォーム間で個別の ID を維持する必要がなくなります。

機能

単一のアクセス制御インターフェース

IAM によって、Google Cloud のすべてのサービスにシンプルで一貫性のあるアクセス制御インターフェースが提供されています。これにより、1 つのアクセス制御インターフェースについて知識を習得すれば、他のすべての Google Cloud リソースでも活用できます。

きめ細かい管理

プロジェクトレベルだけでなく、より細かいリソースレベルでユーザーにアクセス権を付与できます。たとえば、特定の Pub/Sub トピックに対するサブスクライバーのロールをユーザーに付与する IAM のアクセス制御ポリシーを作成できます。

自動化されたアクセス制御の推奨事項

スマートアクセス制御の推奨事項により、Google Cloud リソースへの不要なアクセスを削除できます。Recommender を使用することで、制限の緩すぎるアクセス権設定を自動的に検出し、組織内の類似するユーザーとそのアクセスパターンに基づいてアクセス権設定を適正化できます。

コンテキストアウェアアクセス

デバイスのセキュリティステータス、IP アドレス、リソースタイプ、日時などのコンテキスト属性に基づいて、リソースに対するアクセスを制御します。

フレキシブルなロール

Cloud IAM のリリース前は、ユーザーに付与できるロールがオーナー、編集者、閲覧者だけでした。今では幅広いサービスやリソースが IAM の追加のロールとしてあらかじめ用意されています。たとえば Pub/Sub サービスでは、オーナー、編集者、閲覧者に加え、パブリッシャーとサブスクライバーのロールも利用できます。

ウェブ、プログラム、コマンドラインからのアクセス

IAM ポリシーの作成と管理は、Google Cloud コンソール、IAM メソッド、gcloud コマンドラインツールで行います。

組み込みの監査証跡

管理者の手を煩わせることなく完全な監査証跡が表示されるため、組織のコンプライアンスプロセスを容易に把握できます。

Cloud Identity のサポート

IAM は標準の Google アカウントをサポートしています。Cloud Identity を使用して、Google グループ、Google がホストするドメイン、サービスアカウント、特定の Google アカウントの所有者に対して権限を付与する IAM ポリシーを作成できます。ユーザーやグループは Google 管理コンソールから一元管理できます。