IAM によるアクセス制御

reCAPTCHA Enterprise は、Identity and Access Management（IAM）によるロールベースのアクセス制御（RBAC）と、VPC Service Controls を使用した reCAPTCHA Enterprise API のアクセス制御を行います。

IAM を使用したロールベースのアクセス制御

IAM によるロールベースのアクセス制御（RBAC）は、reCAPTCHA Enterprise と先行する全バージョンの reCAPTCHA との主な相違点です。IAM を使用すると、特定の Google Cloud リソースに対するアクセス権を詳細に設定し、ログや分析などの他のリソースへの不要なアクセスを回避できます。

このセクションでは、reCAPTCHA Enterprise の IAM ロールについて説明します。

ユーザーアカウントやサービスアカウントに IAM ロールを割り当てる方法については、IAM のドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。

ロールと権限

次の表に、reCAPTCHA Enterprise に必要な IAM ロールとその権限を示します。

ロール名役割の説明ロールオブジェクトロールの権限

reCAPTCHA Enterprise エージェント

ロール名	役割の説明	ロールオブジェクト	ロールの権限
reCAPTCHA Enterprise エージェント	reCAPTCHA Enterprise の評価の作成やアノテーション付けに対するアクセス権このロールはサービスアカウントに使用します。	`roles/recaptchaenterprise.agent`	`recaptchaenterprise.assessments.create` `recaptchaenterprise.assessments.annotate`
reCAPTCHA Enterprise 管理者	reCAPTCHA Enterprise キーを作成、変更、削除するためのアクセス権	`roles/recaptchaenterprise.admin`	`recaptchaenterprise.viewer` `recaptchaenterprise.keys.create` `recaptchaenterprise.keys.delete` `recaptchaenterprise.keys.update` `recaptchaenterprise.keys.retrievelegacysecretkey`
reCAPTCHA Enterprise 閲覧者	reCAPTCHA Enterprise キーを表示するためのアクセス権	`roles/recaptchaenterprise.viewer`	`monitoring.timeSeries.list` `recaptchaenterprise.keys.get` `recaptchaenterprise.keys.list` `recaptchaenterprise.metrics.get` `recaptchaenterprise.projectmetadata.get` `resourcemanager.projects.get` `resourcemanager.projects.list`

reCAPTCHA Enterprise の評価の作成やアノテーション付けに対するアクセス権

このロールはサービスアカウントに使用します。

roles/recaptchaenterprise.agent

recaptchaenterprise.assessments.create recaptchaenterprise.assessments.annotate

reCAPTCHA Enterprise 管理者 reCAPTCHA Enterprise キーを作成、変更、削除するためのアクセス権 roles/recaptchaenterprise.admin recaptchaenterprise.viewer recaptchaenterprise.keys.create recaptchaenterprise.keys.delete recaptchaenterprise.keys.update recaptchaenterprise.keys.retrievelegacysecretkey

reCAPTCHA Enterprise 閲覧者 reCAPTCHA Enterprise キーを表示するためのアクセス権 roles/recaptchaenterprise.viewer monitoring.timeSeries.list recaptchaenterprise.keys.get recaptchaenterprise.keys.list recaptchaenterprise.metrics.get recaptchaenterprise.projectmetadata.get resourcemanager.projects.get resourcemanager.projects.list

カスタムの役割

規制要件などのユースケースでは、カスタムロールが必要になる場合があります。reCAPTCHA Enterprise の権限を含むカスタムロールを作成するには、次の表に示す適切なアクションを実行します。

役割の説明	対応
reCAPTCHA Enterprise API の権限のみを付与するロール	[API 権限] セクションの権限から選択します。
reCAPTCHA Enterprise API とコンソールの権限を付与するロール	[ロールと権限] セクションで権限グループを選択します。
評価を作成してアノテーションを付ける機能を付与するロール	[ロールと権限] セクションで、ロール `roles/recaptchaenterprise.agent` に権限を含めます。

カスタムの役割について詳しくは、カスタムの役割の作成と管理をご覧ください。

API 権限

次の表に、呼び出し元が reCAPTCHA Enterprise API recaptchaenterprise.googleapis.com/v1 の各メソッドを呼び出す際に必要となる権限を示します。

メソッド（REST / RPC）	必要な権限	リソースタイプ
`recaptchaenterprise.assessments.annotate / AnnotateAssessmentRequest`	`recaptchaenterprise.assessments.annotate`	プロジェクト
`recaptchaenterprise.assessments.create / CreateAssessmentRequest`	`recaptchaenterprise.assessments.create`	プロジェクト
`recaptchaenterprise.keys.create / CreateKeyRequest`	`recaptchaenterprise.keys.create`	プロジェクト
`recaptchaenterprise.keys.delete / DeleteKeyRequest`	`recaptchaenterprise.keys.delete`	プロジェクト
`recaptchaenterprise.keys.get / GetKeyRequest`	`recaptchaenterprise.keys.get`	プロジェクト
`recaptchaenterprise.keys.list / ListKeysRequest`	`recaptchaenterprise.keys.list`	プロジェクト
`recaptchaenterprise.keys.update / UpdateKeyRequest`	`recaptchaenterprise.keys.update`	プロジェクト

VPC Service Controls

VPC Service Controls は reCAPTCHA Enterprise をサポートし、reCAPTCHA Enterprise API に対する追加のアクセス制御を提供します。詳細については、サポートされているプロダクトと制限事項 > reCAPTCHA Enterprise をご覧ください。