IAM を使用したアクセス制御

Identity and Access Management(IAM)のロールは、Managed Service for Microsoft Active Directory(マネージド Microsoft AD)API の使用方法について規定しています。以下は、マネージド Microsoft AD で使用できる各 IAM のロールと使用可能なメソッドの一覧です。

さらに、Managed Microsoft AD を表示して有効化するには、サービス アカウントに servicemanagement.services.bind の権限が必要です。詳細については、サービス管理のロールと権限をご覧ください。

ロール 権限

Google Cloud Managed Identities 管理者
roles/managedidentities.admin

Google Cloud Managed Identities のドメインと関連リソースに対する完全アクセス権。プロジェクト レベルで付与することを前提としています。

  • managedidentities.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Google Cloud Managed Identities バックアップ管理者
roles/managedidentities.backupAdmin

Google Cloud Managed Identities のバックアップと関連リソースに対する完全アクセス権。プロジェクト レベルで付与することを前提としています

  • managedidentities.backups.*
  • managedidentities.domains.get
  • managedidentities.locations.*
  • managedidentities.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Google Cloud Managed Identities バックアップ閲覧者
roles/managedidentities.backupViewer

Google Cloud Managed Identities のバックアップと関連リソースに対する読み取り専用アクセス権。

  • managedidentities.backups.get
  • managedidentities.backups.getIamPolicy
  • managedidentities.backups.list
  • managedidentities.domains.get
  • managedidentities.locations.*
  • managedidentities.operations.get
  • managedidentities.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Google Cloud Managed Identities ドメイン管理者
roles/managedidentities.domainAdmin

Google Cloud Managed Identities のドメインと関連リソースに対する読み取り / 更新 / 削除権限。リソース(ドメイン)レベルで付与することを前提としています。

  • managedidentities.backups.*
  • managedidentities.domains.attachTrust
  • managedidentities.domains.createTagBinding
  • managedidentities.domains.delete
  • managedidentities.domains.deleteTagBinding
  • managedidentities.domains.detachTrust
  • managedidentities.domains.extendSchema
  • managedidentities.domains.get
  • managedidentities.domains.getIamPolicy
  • managedidentities.domains.listEffectiveTags
  • managedidentities.domains.listTagBindings
  • managedidentities.domains.reconfigureTrust
  • managedidentities.domains.resetpassword
  • managedidentities.domains.restore
  • managedidentities.domains.update
  • managedidentities.domains.updateLDAPSSettings
  • managedidentities.domains.validateTrust
  • managedidentities.locations.*
  • managedidentities.operations.get
  • managedidentities.operations.list
  • managedidentities.sqlintegrations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Google Cloud Managed Identities ドメイン コントローラのオペレータ
roles/managedidentities.domaincontrollerOperator

Managed AD ドメイン コントローラへのオペレータ アクセス権

  • pubsub.schemas.attach
  • pubsub.schemas.create
  • pubsub.schemas.delete
  • pubsub.schemas.get
  • pubsub.schemas.list
  • pubsub.schemas.validate
  • pubsub.snapshots.create
  • pubsub.snapshots.delete
  • pubsub.snapshots.get
  • pubsub.snapshots.list
  • pubsub.snapshots.seek
  • pubsub.snapshots.update
  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.list
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.detachSubscription
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.topics.publish
  • pubsub.topics.update
  • pubsub.topics.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.get
  • storage.objects.list

Google Cloud Managed Identities ピアリング管理者
roles/managedidentities.peeringAdmin

Google Cloud Managed Identities のドメインと関連リソースに対する完全アクセス権。プロジェクト レベルで付与することを前提としています

  • managedidentities.locations.*
  • managedidentities.operations.*
  • managedidentities.peerings.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Google Cloud Managed Identities ピアリング閲覧者
roles/managedidentities.peeringViewer

Google Cloud Managed Identities のピアリングと関連リソースに対する読み取り専用アクセス権。

  • managedidentities.locations.*
  • managedidentities.operations.get
  • managedidentities.operations.list
  • managedidentities.peerings.get
  • managedidentities.peerings.getIamPolicy
  • managedidentities.peerings.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Google Cloud Managed Identities 閲覧者
roles/managedidentities.viewer

Google Cloud Managed Identities のドメインと関連リソースに対する読み取り専用アクセス権。

  • managedidentities.backups.get
  • managedidentities.backups.getIamPolicy
  • managedidentities.backups.list
  • managedidentities.domains.get
  • managedidentities.domains.getIamPolicy
  • managedidentities.domains.list
  • managedidentities.domains.listEffectiveTags
  • managedidentities.domains.listTagBindings
  • managedidentities.locations.*
  • managedidentities.operations.get
  • managedidentities.operations.list
  • managedidentities.peerings.get
  • managedidentities.peerings.getIamPolicy
  • managedidentities.peerings.list
  • managedidentities.sqlintegrations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

IAM ロールの詳細については、ロールについてをご覧ください。