Identity and Access Management(IAM)
エンタープライズ クラスのアクセス制御
シンプルな構造
組織の内部構造やポリシーは複雑化しやすく、プロジェクト、ワークグループ、ユーザーが持っている権限の管理など、あらゆることが動的に変化します。IAM は、シンプルさを念頭に設計されています。わかりやすい汎用インターフェースにより、Google Cloud のすべてのリソースに対するアクセスを一貫した方法で制御できます。一度使い方を覚えれば、どのような場面にも対応できます。
適切なロール
IAM にはリソースの権限を管理するためのツールが用意されており、手間を最大限省き、高度な自動化を実現できます。社内の職務をグループやロールにマッピングすることで、ユーザーはタスクをこなすのに必要なアクセス権のみを取得し、管理者はユーザー グループ全体に対してデフォルトの権限を簡単に付与できます。
スマート アクセス制御
権限の管理は、多大な時間を要する作業になる場合があります。 Recommender の ML を使ったスマート アクセス制御の推奨事項により、管理者は Google Cloud リソースへの不要なアクセスを排除できます。また、セキュリティ チームが Recommender を使用することで、制限の緩すぎるアクセス権設定を自動的に検出し、組織内の類似するユーザーとそのアクセス パターンに基づいてアクセス権設定を適正化できます。
コンテキストアウェア アクセスによるきめ細かいアクセス制御
IAM では、プロジェクト レベルでのアクセスよりもはるかに細分化されたレベルでクラウド リソースへのアクセスを管理できます。デバイスのセキュリティ ステータス、IP アドレス、リソースタイプ、日時などの属性に基づいて、リソースに対するきめ細かいアクセス制御ポリシーを作成できます。これらのポリシーにより、クラウド リソースへのアクセスを許可する際に適切なセキュリティ制御を確実に適用できます。
組み込み監査証跡でコンプライアンスを合理化
管理者が把握できるよう、権限の認可、削除、委任に関するすべての監査証跡の履歴が自動的に表示されます。IAM を使うことで、リソースに関するビジネス ポリシーに注力できるようになり、コンプライアンスの徹底も容易になります。
企業の ID 管理を簡素化
Google Cloud の組み込みマネージド ID である Cloud Identity を利用すれば、さまざまなアプリケーション間やプロジェクト間でユーザー アカウントを簡単に作成、同期できます。また、ユーザーとグループのプロビジョニングや管理、シングル サインオンの設定、2 要素認証プロセス(2FA)の構成を、Google 管理コンソールから直接簡単に行えます。さらに、Google Cloud 組織にアクセスできるため、Resource Manager を介してプロジェクトを集中管理できます。
Workforce Identity 連携
Workforce Identity 連携では、外部 ID プロバイダ(IdP)を使用して、ワークフォース(従業員、パートナー、請負業者などのユーザー グループ)を IAM を使用して認証および認可し、ユーザーが Google Cloud サービスにアクセスできるようにします。Workforce Identity 連携は、ディレクトリ同期の代わりに ID 連携アプローチを使用するため、複数のプラットフォーム間で個別の ID を維持する必要がなくなります。
機能
単一のアクセス制御インターフェース
IAM によって、Google Cloud のすべてのサービスにシンプルで一貫性のあるアクセス制御インターフェースが提供されています。これにより、1 つのアクセス制御インターフェースについて知識を習得すれば、他のすべての Google Cloud リソースでも活用できます。
きめ細かい管理
プロジェクト レベルだけでなく、より細かいリソースレベルでユーザーにアクセス権を付与できます。たとえば、特定の Pub/Sub トピックに対するサブスクライバーのロールをユーザーに付与する IAM のアクセス制御ポリシーを作成できます。
自動化されたアクセス制御の推奨事項
スマート アクセス制御の推奨事項により、Google Cloud リソースへの不要なアクセスを削除できます。Recommender を使用することで、制限の緩すぎるアクセス権設定を自動的に検出し、組織内の類似するユーザーとそのアクセス パターンに基づいてアクセス権設定を適正化できます。
コンテキストアウェア アクセス
デバイスのセキュリティ ステータス、IP アドレス、リソースタイプ、日時などのコンテキスト属性に基づいて、リソースに対するアクセスを制御します。
フレキシブルなロール
Cloud IAM のリリース前は、ユーザーに付与できるロールがオーナー、編集者、閲覧者だけでした。今では幅広いサービスやリソースが IAM の追加のロールとしてあらかじめ用意されています。たとえば Pub/Sub サービスでは、オーナー、編集者、閲覧者に加え、パブリッシャーとサブスクライバーのロールも利用できます。
ウェブ、プログラム、コマンドラインからのアクセス
IAM ポリシーの作成と管理は、Google Cloud コンソール、IAM メソッド、gcloud コマンドライン ツールで行います。
組み込みの監査証跡
管理者の手を煩わせることなく完全な監査証跡が表示されるため、組織のコンプライアンス プロセスを容易に把握できます。
Cloud Identity のサポート
IAM は標準の Google アカウントをサポートしています。Cloud Identity を使用して、Google グループ、Google がホストするドメイン、サービス アカウント、特定の Google アカウントの所有者に対して権限を付与する IAM ポリシーを作成できます。ユーザーやグループは Google 管理コンソールから一元管理できます。
無料
Google Cloud のお客様は、IAM を追加料金なしでご利用いただけます。請求は他の Google Cloud サービスの利用分に対してのみ行われます。その他の Google Cloud サービスの料金については、Google Cloud 料金計算ツールをご覧ください。
「IAM により、Snapchat はプロジェクト内のリソースに対してきめ細かいアクセス権を付与できます。これにより、ワークグループ ベースでアクセス権を細分化して付与し、機密性の高いリソースを個人のアクセスニーズに基づいて管理できるようになりました。」
Snapchat 社、セキュリティ エンジニア Subhash Sankuratripati 氏
技術リソース
料金
Cloud IAM は追加料金なしでご利用いただけます。
$300 分の無料クレジットと 20 種類以上の無料枠プロダクトを活用して Google Cloud で構築を開始しましょう。
プロジェクトを開始してインタラクティブなチュートリアルを体験し、アカウントを管理しましょう。