Google は「The Forrester Wave™: Infrastructure as a Service(IaaS)Platform Native Security Q2 2023」においてリーダーに選出されました。レポートをご覧ください

Identity and Access Management(IAM)

きめ細かいアクセス制御と可視化によってクラウド リソースの一元管理を実現。

このプロダクトのドキュメントを見る

Cloud IAM アイコンがついたクラウドの前に座っている女性と、手前にあるキーボードがスマートフォン、ノートパソコン、タブレットに接続されているイラスト

エンタープライズ クラスのアクセス制御

Identity and Access Management(IAM)を使用すると、特定のリソースに対するアクションの実行を、承認を受けたユーザーのみに許可できます。これは、Google Cloud リソースを集約して可視化し、管理するうえで役立ちます。組織全体のセキュリティ ポリシーを管理するための統合ビューが提供され、さらに監査機能も組み込まれているため、数百のワークグループや多数のプロジェクトからなる複雑な組織構造を抱える企業でも、コンプライアンス プロセスが容易になります。
「更新」アイコンが表示されているパソコンのモニターのイラスト

シンプルな構造

組織の内部構造やポリシーはすぐに複雑化しやすいことを認識しています。プロジェクト、ワークグループ、さまざまなジョブに関する権限を持つユーザーの管理など、あらゆることが動的に変化します。IAM は、シンプルな構造を念頭に設計されています。わかりやすい汎用インターフェースにより、Google Cloud のすべてのリソースに対するアクセスを一貫した方法で管理できます。一度使い方を覚えれば、どのような場面にも対応できます。

箇条書きが表示されているモニターのイラスト: 4 つのうち 3 つは青いチェックマークで、2 番目は赤い X です。左上に女性の顔の円形の写真が表示され、右下に鍵のかかった南京錠のアイコンが表示されています

適切なロール

IAM にはリソースの権限を管理するためのツールが用意されており、少ない手間で高度な自動化を実現できます。社内のジョブの権限をグループやロールにマッピングする。ユーザーは自分の行うべきジョブにのみアクセスでき、管理者はユーザー グループ全体に対してデフォルトの権限を簡単に付与できます。

背景にシルエット化されたクラウドとデベロッパー ツールのアイコンがある、線グラフが表示されているモニターのイラスト

スマート アクセス制御

権限の管理は、多大な時間を要する作業になる場合があります。 Recommender の機械学習を使ったスマート アクセス制御の最適化案により、管理者は Google Cloud リソースへの不要なアクセスを排除できます。また、セキュリティ チームが Recommender を使用することで、制限の緩すぎるアクセス権設定を自動的に検出し、組織内の類似するユーザーとそのアクセス パターンに基づいてアクセス権設定を適正化できます。

インターネット デバイス、セキュリティ、マップピンに接続するネットワーク線の中央にいる男性のイラスト

コンテキストアウェア アクセスによるきめ細かいアクセス制御

IAM では、プロジェクト レベルでのアクセスよりもはるかに優れた、より細分化されたレベルでクラウド リソースへのアクセスを管理できます。デバイスのセキュリティ ステータス、IP アドレス、リソースタイプ、日時などの属性に基づいて、リソースに対するきめ細かいアクセス制御ポリシーを作成できます。これらのポリシーにより、クラウド リソースへのアクセスを許可する際に適切なセキュリティ管理を確実に適用できます。

手前にクリップボードがある、テキストリストが表示されているパソコンのモニターのイラスト

組み込み監査証跡でコンプライアンスを合理化

管理者が把握できるよう、権限の認可、解除、委任に関するすべての監査証跡の履歴が自動的に表示されます。IAM を使うことで、リソースに関するビジネス ポリシーに注力できるようになり、コンプライアンスへの適合も容易になります。

テキストがグレー表示され、ロックされているパソコンのモニターのイラスト。モニターの中央上部には男性の顔があり、その周囲には半円状のドットに Gmail、Google ドライブ、Google ドキュメントなどのアイコンが描かれています

企業の ID 管理を簡素化

Google Cloud の組み込みマネージド アイデンティティである Cloud Identity を利用すれば、さまざまなアプリケーション間やプロジェクト間でユーザー アカウントを簡単に作成、同期できます。ユーザーやグループのプロビジョニングや管理、シングル サインオンの設定も簡単になり、Google 管理コンソールから直接、2 要素認証(2FA)を構成することもできます。さらに、Google Cloud 組織にアクセスできるため、Resource Manager を介してプロジェクトを集中管理できます。

ユーザーを認証および認可するための Workforce Identity 連携アーキテクチャ。

Workforce Identity の連携

Workforce Identity 連携では、外部 ID プロバイダ(IdP)を使用して、ワークフォース(従業員、パートナー、請負業者などのユーザー グループ)を IAM を使用して認証および認可し、ユーザーが Google Cloud サービスにアクセスできるようにします。Workforce Identity 連携は、ディレクトリ同期の代わりに ID 連携アプローチを使用するため、複数のプラットフォーム間で個別の ID を維持する必要がなくなります。

機能

単一のアクセス制御インターフェース

IAM は、Google Cloud のすべてのサービスにわたって、シンプルで一貫性のあるアクセス制御インターフェースを備えています。これにより、1 つのアクセス制御インターフェースについて知識を習得すれば、他のすべての Google Cloud リソースでも活用できます。

きめ細かい管理

プロジェクト レベルだけでなく、より細かいリソースレベルでユーザーにアクセス権を付与できます。たとえば、特定の Pub/Sub トピックに対してサブスクライバーの役割をユーザーに付与する IAM のアクセス制御ポリシーを作成できます。

自動化されたアクセス制御の提案

スマート アクセス制御の最適化案により、Google Cloud リソースへの不要なアクセスを排除できます。Recommender を使用することで、制限の緩すぎるアクセス権設定を自動的に検出し、組織内の類似するユーザーとそのアクセス パターンに基づいてアクセス権設定を適正化できます。

コンテキストアウェア アクセス

デバイスのセキュリティ ステータス、IP アドレス、リソースタイプ、日時などのコンテキスト属性に基づいて、リソースに対するアクセスを制御します。

フレキシブルなロール

IAM のリリース前は、ユーザーに付与できる役割はオーナー、編集者、閲覧者だけでした。今では幅広いサービスやリソースが IAM の追加の役割としてあらかじめ用意されています。たとえば Pub/Sub サービスでは、オーナー、編集者、閲覧者に加え、パブリッシャーとサブスクライバーのロールも利用できます。

ウェブ、プログラム、コマンドラインからのアクセス

IAM ポリシーの作成と管理は、Google Cloud Console、IAM メソッド、gcloud コマンドライン ツールで行います。

組み込みの監査証跡

監査証跡機能一式が用意されており、管理者は手間をかけずに、組織のコンプライアンス プロセスを容易に把握できます。

Cloud Identity のサポート

IAM は標準の Google アカウントをサポートしています。Cloud Identity を使用して、Google グループGoogle がホストするドメインサービス アカウント、特定の Google アカウントの所有者に対して権限を付与する IAM ポリシーを作成できます。ユーザーやグループは Google 管理コンソールから一元管理できます。

無料

Google Cloud のお客様は、IAM を追加料金なしでご利用いただけます。請求は他の Google Cloud サービスの利用分に対してのみ行われます。その他の Google Cloud サービスの料金については、Google Cloud 料金計算ツールをご覧ください。

Snapchat ロゴ

「IAM により、Snapchat はプロジェクト内のリソースに対してきめ細かいアクセス制御を付与できます。これにより、ワークグループ ベースでアクセス権を細分化して付与し、個人のアクセスニーズに基づいてプライベート リソースを管理できるようになりました。」

Snapchat 社 セキュリティ エンジニア Subhash Sankuratripati 氏

料金

IAM は追加料金なしでご利用いただけます。

次のステップ

$300 分の無料クレジットと 20 種類以上の Always Free プロダクトを活用して Google Cloud で構築を開始しましょう。

開始にあたりサポートが必要な場合
信頼できるパートナーの活用

次のステップ

プロジェクトを開始してインタラクティブなチュートリアルを体験し、アカウントを管理しましょう。

開始にあたりサポートが必要な場合
信頼できるパートナーの活用
ヒントとベスト プラクティスを入手する

このページで紹介しているプロダクトや機能にはベータ版のものがあります。プロダクトのリリース ステージの詳細