このページでは、ファイアウォール インサイトの実行に必要な Identity and Access Management(IAM)のロールと権限について説明します。
ユーザーやサービス アカウントの権限、または事前定義ロールを付与するか、指定した権限を使用するカスタムロールを作成できます。次の表に、IAM 事前定義ロールとそれに関連する権限を示します。
詳しくは、IAM 権限のリファレンスをご覧ください。
| 説明 | ロール | 権限(メソッド) |
|---|---|---|
| ファイアウォールとその詳細を閲覧する |
次のいずれかのロールを付与します。
|
compute.firewalls.list |
| インサイトのみを閲覧する | 次のいずれかのロールを付与します。
|
projects.locations.insightTypes.insights.list |
| インサイト指標を閲覧する | 次のいずれかのロールを付与します。
|
monitoring.timeSeries.list |
| インサイトを閲覧および変更する | Firewall Recommender 管理者ロール(roles/recommender.firewallAdmin)を付与します。 |
プロジェクトのロールと権限の詳細については、次のドキュメントをご覧ください。
必要なロールと権限を取得する
API と機能を有効にするために必要な権限を取得するには、プロジェクトに関する次の IAM ロールを付与してもらうよう管理者に依頼してください。
- Service Usage 管理者 (
roles/serviceusage.serviceUsageAdmin) - Firewall Recommender 管理者(
roles/recommender.firewallAdmin)
ロールの付与の詳細については、アクセスの管理をご覧ください。
これらの事前定義ロールには、API と機能を有効にするために必要な権限が含まれています。必要な権限を正確に確認するには、[必要な権限] セクションを開いてください。
必要な権限
API と機能を有効にするには、次の権限が必要です。
-
API を有効にする:
serviceusage.services.enable - シャドウルールや制限が緩すぎるルールの分析情報を有効にする:
recommender.computeFirewallInsightTypeConfigs.update
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
プロジェクトの選択
前提条件を満たすために操作を行う前、またはファイアウォール インサイトを使用して他の操作を行う前に、Google Cloud プロジェクトを作成または選択することをおすすめします。次の操作を行います。
Google Cloud Console でプロジェクト セレクタ ページに移動します。
Google Cloud プロジェクトを選択または作成します。
Google Cloud プロジェクトに対して課金が有効になっていることを確認します。
次のステップ
- 設定作業を完了するには、API と機能を有効にするをご覧ください。