Identity and Access Management（IAM）

きめ細かいアクセス制御と可視化によってクラウドリソースの一元管理を実現。

Cloud IAM アイコンがついたクラウドの前に座っている女性と、手前にあるキーボードがスマートフォン、ノートパソコン、タブレットに接続されているイラスト

エンタープライズクラスのアクセス制御

Identity and Access Management（IAM）を使用すると、特定のリソースに対するアクションの実行を、承認を受けたユーザーのみに許可できます。これは、Google Cloud リソースを集約して可視化し、管理するうえで役立ちます。組織全体のセキュリティポリシーを管理するための統合ビューが提供され、さらに監査機能も組み込まれているため、数百のワークグループや多数のプロジェクトからなる複雑な組織構造を抱える企業でも、コンプライアンスプロセスが容易になります。

シンプルな構造

組織の内部構造やポリシーはすぐに複雑化しやすいことを認識しています。プロジェクト、ワークグループ、さまざまなジョブに関する権限を持つユーザーの管理など、あらゆることが動的に変化します。IAM は、シンプルな構造を念頭に設計されています。わかりやすい汎用インターフェースにより、Google Cloud のすべてのリソースに対するアクセスを一貫した方法で管理できます。一度使い方を覚えれば、どのような場面にも対応できます。

箇条書きが表示されているモニターのイラスト: 4 つのうち 3 つは青いチェックマークで、2 番目は赤い X です。左上に女性の顔の円形の写真が表示され、右下に鍵のかかった南京錠のアイコンが表示されています

適切なロール

IAM にはリソースの権限を管理するためのツールが用意されており、少ない手間で高度な自動化を実現できます。社内のジョブの権限をグループやロールにマッピングする。ユーザーは自分の行うべきジョブにのみアクセスでき、管理者はユーザーグループ全体に対してデフォルトの権限を簡単に付与できます。

背景にシルエット化されたクラウドとデベロッパーツールのアイコンがある、線グラフが表示されているモニターのイラスト

スマートアクセス制御

権限の管理は、多大な時間を要する作業になる場合があります。 Recommender の機械学習を使ったスマートアクセス制御の最適化案により、管理者は Google Cloud リソースへの不要なアクセスを排除できます。また、セキュリティチームが Recommender を使用することで、制限の緩すぎるアクセス権設定を自動的に検出し、組織内の類似するユーザーとそのアクセスパターンに基づいてアクセス権設定を適正化できます。

インターネットデバイス、セキュリティ、マップピンに接続するネットワーク線の中央にいる男性のイラスト

コンテキストアウェアアクセスによるきめ細かいアクセス制御

IAM では、プロジェクトレベルでのアクセスよりもはるかに優れた、より細分化されたレベルでクラウドリソースへのアクセスを管理できます。デバイスのセキュリティステータス、IP アドレス、リソースタイプ、日時などの属性に基づいて、リソースに対するきめ細かいアクセス制御ポリシーを作成できます。これらのポリシーにより、クラウドリソースへのアクセスを許可する際に適切なセキュリティ管理を確実に適用できます。

手前にクリップボードがある、テキストリストが表示されているパソコンのモニターのイラスト

組み込み監査証跡でコンプライアンスを合理化

管理者が把握できるよう、権限の認可、解除、委任に関するすべての監査証跡の履歴が自動的に表示されます。IAM を使うことで、リソースに関するビジネスポリシーに注力できるようになり、コンプライアンスへの適合も容易になります。

テキストがグレー表示され、ロックされているパソコンのモニターのイラスト。モニターの中央上部には男性の顔があり、その周囲には半円状のドットに Gmail、Google ドライブ、Google ドキュメントなどのアイコンが描かれています

企業の ID 管理を簡素化

Google Cloud の組み込みマネージドアイデンティティである Cloud Identity を利用すれば、さまざまなアプリケーション間やプロジェクト間でユーザーアカウントを簡単に作成、同期できます。ユーザーやグループのプロビジョニングや管理、シングルサインオンの設定も簡単になり、Google 管理コンソールから直接、2 要素認証（2FA）を構成することもできます。さらに、Google Cloud 組織にアクセスできるため、Resource Manager を介してプロジェクトを集中管理できます。

Workforce Identity の連携

Workforce Identity 連携では、外部 ID プロバイダ（IdP）を使用して、ワークフォース（従業員、パートナー、請負業者などのユーザーグループ）を IAM を使用して認証および認可し、ユーザーが Google Cloud サービスにアクセスできるようにします。Workforce Identity 連携は、ディレクトリ同期の代わりに ID 連携アプローチを使用するため、複数のプラットフォーム間で個別の ID を維持する必要がなくなります。

機能

単一のアクセス制御インターフェース

IAM は、Google Cloud のすべてのサービスにわたって、シンプルで一貫性のあるアクセス制御インターフェースを備えています。これにより、1 つのアクセス制御インターフェースについて知識を習得すれば、他のすべての Google Cloud リソースでも活用できます。

きめ細かい管理

プロジェクトレベルだけでなく、より細かいリソースレベルでユーザーにアクセス権を付与できます。たとえば、特定の Pub/Sub トピックに対してサブスクライバーの役割をユーザーに付与する IAM のアクセス制御ポリシーを作成できます。

自動化されたアクセス制御の提案

スマートアクセス制御の最適化案により、Google Cloud リソースへの不要なアクセスを排除できます。Recommender を使用することで、制限の緩すぎるアクセス権設定を自動的に検出し、組織内の類似するユーザーとそのアクセスパターンに基づいてアクセス権設定を適正化できます。

コンテキストアウェアアクセス

デバイスのセキュリティステータス、IP アドレス、リソースタイプ、日時などのコンテキスト属性に基づいて、リソースに対するアクセスを制御します。

フレキシブルなロール

IAM のリリース前は、ユーザーに付与できる役割はオーナー、編集者、閲覧者だけでした。今では幅広いサービスやリソースが IAM の追加の役割としてあらかじめ用意されています。たとえば Pub/Sub サービスでは、オーナー、編集者、閲覧者に加え、パブリッシャーとサブスクライバーのロールも利用できます。

ウェブ、プログラム、コマンドラインからのアクセス

IAM ポリシーの作成と管理は、Google Cloud Console、IAM メソッド、gcloud コマンドラインツールで行います。

組み込みの監査証跡

監査証跡機能一式が用意されており、管理者は手間をかけずに、組織のコンプライアンスプロセスを容易に把握できます。

Cloud Identity のサポート

IAM は標準の Google アカウントをサポートしています。Cloud Identity を使用して、Google グループ、Google がホストするドメイン、サービスアカウント、特定の Google アカウントの所有者に対して権限を付与する IAM ポリシーを作成できます。ユーザーやグループは Google 管理コンソールから一元管理できます。