IAM を使用したアクセス制御

このページでは、Infrastructure Manager のロールと権限について説明します。

Infra Manager は、Identity and Access Management(IAM)を使用してサービスへのアクセスを制御します。Infra Manager を使用してリソースをデプロイするアクセス権を付与するには、Infra Manager の呼び出しに使用するサービス アカウントに、必要な Infra Manager の IAM ロールを割り当てます。サービス アカウントに権限を付与する方法については、サービス アカウントに対するアクセス権の管理をご覧ください。

Infra Manager のデプロイ、リビジョン、IAM ポリシーを表示するためにサービス アカウントは必要ありません。Infra Manager を表示するには、ユーザー、グループ、またはサービス アカウントにアクセス権を付与します。

Terraform 構成で定義された Google Cloud リソースをデプロイまたは表示するには、これらのリソースに固有のサービス アカウント権限を付与する必要があります。これらの権限は、このページに記載されているインフラストラクチャ マネージャーの権限に加えて付与されます。すべてのロールとそれを含む権限の一覧については、Identity and Access Management の基本ロールと事前定義ロールのリファレンスをご覧ください。

事前定義された Infra Manager ロール

IAM には、特定の Google Cloud リソースへのアクセス権を付与し、他のリソースへの不正なアクセスを防止する事前定義ロールが用意されています。

次の表に、Infra Manager IAM のロールとその権限を示します。

ロール 説明 権限
Infra Manager 管理者(roles/config.admin ユーザーが Infrastructure Manager リソースに対する完全な管理権限を持つ config.deployments.create
config.deployments.delete
config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.deployments.setIamPolicy
config.deployments.update
config.previews.create
config.previews.delete
config.previews.get
config.previews.list
config.previews.export
config.previews.upload
config.locations.get
config.locations.list
config.operations.cancel
config.operations.delete
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.artifacts.import
config.terraformversions.get
config.terraformversions.listt
resourcemanager.projects.get
resourcemanager.projects.list
Infra Manager サービス エージェント(roles/config.agent デプロイ、リビジョン、ロギング、Terraform 状態ファイルなど、Infra Manager を操作するサービス アカウントへのアクセス権を付与します。 storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
logging.logEntries.create
config.deployments.getState
config.deployments.updateState
config.deployments.deleteState
config.deployments.getLock
config.previews.upload
config.artifacts.import
config.revisions.getState
cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
Infra Manager サービス アカウント(roles/cloudconfig.serviceAgent Infra Manager API を有効にすると、Infra Manager サービス アカウントがプロジェクトに自動的に作成され、プロジェクト内のリソースに対するこのロールが付与されます。Infra マネージャー サービス アカウントは、デプロイとリビジョンの作成、管理、削除時にアクションを実行するために必要な場合にのみ、このロールを使用します。 cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update
cloudbuild.workerpools.use
storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
Infra Manager 閲覧者(roles/config.viewer デプロイ、リビジョン、IAM ポリシーを読み取る。 config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.previews.get
config.previews.list
config.locations.get
config.locations.list
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.terraformversions.get
config.terraformversions.listt
resourcemanager.projects.get
resourcemanager.projects.list

Infra Manager の事前定義ロールに加えて、基本の閲覧者とオーナーのロールには、Infra Manager に関連する権限も含まれています。ただし、最小権限のセキュリティ原則に準拠するように、事前定義されたロールを付与することをおすすめします。

次の表に、基本ロールと、それに含まれる Infra Manager IAM ロールを示します。

ロール 含まれるロール
閲覧者 roles/config.viewer
オーナー roles/config.admin

権限

呼び出し元が各メソッドを呼び出す際に必要となる権限は、REST API リファレンスに記載されています。

次のステップ