Identity and Access Management(IAM)
エンタープライズ クラスのアクセス制御
シンプルな構造
組織の内部構造やポリシーはすぐに複雑化しやすいことを認識しています。プロジェクト、ワークグループ、さまざまなジョブに関する権限を持つユーザーの管理など、あらゆることが動的に変化します。IAM は、シンプルな構造を念頭に設計されています。わかりやすい汎用インターフェースにより、Google Cloud のすべてのリソースに対するアクセスを一貫した方法で管理できます。一度使い方を覚えれば、どのような場面にも対応できます。
適切なロール
IAM にはリソースの権限を管理するためのツールが用意されており、少ない手間で高度な自動化を実現できます。社内のジョブの権限をグループやロールにマッピングする。ユーザーは自分の行うべきジョブにのみアクセスでき、管理者はユーザー グループ全体に対してデフォルトの権限を簡単に付与できます。
スマート アクセス制御
権限の管理は、多大な時間を要する作業になる場合があります。 Recommender の機械学習を使ったスマート アクセス制御の最適化案により、管理者は Google Cloud リソースへの不要なアクセスを排除できます。また、セキュリティ チームが Recommender を使用することで、制限の緩すぎるアクセス権設定を自動的に検出し、組織内の類似するユーザーとそのアクセス パターンに基づいてアクセス権設定を適正化できます。
コンテキストアウェア アクセスによるきめ細かいアクセス制御
IAM では、プロジェクト レベルでのアクセスよりもはるかに優れた、より細分化されたレベルでクラウド リソースへのアクセスを管理できます。デバイスのセキュリティ ステータス、IP アドレス、リソースタイプ、日時などの属性に基づいて、リソースに対するきめ細かいアクセス制御ポリシーを作成できます。これらのポリシーにより、クラウド リソースへのアクセスを許可する際に適切なセキュリティ管理を確実に適用できます。
組み込み監査証跡でコンプライアンスを合理化
管理者が把握できるよう、権限の認可、解除、委任に関するすべての監査証跡の履歴が自動的に表示されます。IAM を使うことで、リソースに関するビジネス ポリシーに注力できるようになり、コンプライアンスへの適合も容易になります。
企業の ID 管理を簡素化
Google Cloud の組み込みマネージド アイデンティティである Cloud Identity を利用すれば、さまざまなアプリケーション間やプロジェクト間でユーザー アカウントを簡単に作成、同期できます。ユーザーやグループのプロビジョニングや管理、シングル サインオンの設定も簡単になり、Google 管理コンソールから直接、2 要素認証(2FA)を構成することもできます。さらに、Google Cloud 組織にアクセスできるため、Resource Manager を介してプロジェクトを集中管理できます。
機能
単一のアクセス制御インターフェース
IAM は、Google Cloud のすべてのサービスにわたって、シンプルで一貫性のあるアクセス制御インターフェースを備えています。これにより、1 つのアクセス制御インターフェースについて知識を習得すれば、他のすべての Google Cloud リソースでも活用できます。
きめ細かい管理
プロジェクト レベルだけでなく、より細かいリソースレベルでユーザーにアクセス権を付与できます。たとえば、特定の Pub/Sub トピックに対してサブスクライバーの役割をユーザーに付与する IAM のアクセス制御ポリシーを作成できます。
自動化されたアクセス制御の提案
スマート アクセス制御の最適化案により、Google Cloud リソースへの不要なアクセスを排除できます。Recommender を使用することで、制限の緩すぎるアクセス権設定を自動的に検出し、組織内の類似するユーザーとそのアクセス パターンに基づいてアクセス権設定を適正化できます。
コンテキストアウェア アクセス
デバイスのセキュリティ ステータス、IP アドレス、リソースタイプ、日時などのコンテキスト属性に基づいて、リソースに対するアクセスを制御します。
フレキシブルなロール
IAM のリリース前は、ユーザーに付与できる役割はオーナー、編集者、閲覧者だけでした。今では幅広いサービスやリソースが IAM の追加の役割としてあらかじめ用意されています。たとえば Pub/Sub サービスでは、オーナー、編集者、閲覧者に加え、パブリッシャーとサブスクライバーのロールも利用できます。
ウェブ、プログラム、コマンドラインからのアクセス
IAM ポリシーの作成と管理は、Google Cloud Console、IAM メソッド、gcloud コマンドライン ツールで行います。
組み込みの監査証跡
監査証跡機能一式が用意されており、管理者は手間をかけずに、組織のコンプライアンス プロセスを容易に把握できます。
Cloud Identity のサポート
IAM は標準の Google アカウントをサポートしています。Cloud Identity を使用して、Google グループ、Google がホストするドメイン、サービス アカウント、特定の Google アカウントの所有者に対して権限を付与する IAM ポリシーを作成できます。ユーザーやグループは Google 管理コンソールから一元管理できます。
無料
Google Cloud のお客様は、IAM を追加料金なしでご利用いただけます。請求は他の Google Cloud サービスの利用分に対してのみ行われます。その他の Google Cloud サービスの料金については、Google Cloud 料金計算ツールをご覧ください。
「IAM により、Snapchat はプロジェクト内のリソースに対してきめ細かいアクセス制御を付与できます。これにより、ワークグループ ベースでアクセス権を細分化して付与し、個人のアクセスニーズに基づいてプライベート リソースを管理できるようになりました。」
Snapchat 社 セキュリティ エンジニア Subhash Sankuratripati 氏
技術リソース
料金
IAM は追加料金なしでご利用いただけます。
$300 分の無料クレジットと 20 種類以上の Always Free プロダクトを活用して Google Cloud で構築を開始しましょう。
プロジェクトを開始してインタラクティブなチュートリアルを体験し、アカウントを管理しましょう。
このページで紹介しているプロダクトや機能にはベータ版のものがあります。プロダクトのリリース ステージの詳細