アクセス制御

このページでは、Cloud Asset API で使用可能なアクセス制御オプションについて説明します。

概要

Cloud Asset Inventory は、アクセス制御に Cloud Identity and Access Management(Cloud IAM)を使用します。

Cloud Asset API では、プロジェクト レベルまたは組織レベルでアクセス制御を構成できます。たとえば、プロジェクト内のすべての Cloud Asset Inventory リソースへのアクセス権をデベロッパーのグループに付与することができます。

Cloud IAM とその機能の詳細については、Cloud IAM デベロッパー ガイドをご覧ください。特に、Cloud IAM ポリシーの管理に関するセクションをご覧ください。

すべての Cloud Asset Inventory API メソッドで、呼び出し元が必要な権限を持っている必要があります。詳細については、権限と役割をご覧ください。

権限と役割

このセクションでは、Cloud IAM でサポートされる Cloud Asset API の権限と役割を簡単に説明します。

必要な権限

次の表に、呼び出し元が Cloud Asset API で各 API メソッドを呼び出したり、API を使用する Google Cloud Platform ツール(Google Cloud Platform Console や Cloud SDK など)を使用してタスクを実行したりするために必要な権限を示します。

権限 API メソッド
cloudasset.assets.exportResource または
cloudasset.assets.exportIamPolicy
content_type に基づく)
*.batchGetAssetsHistory
*.exportAssets
*.operations.get

役割

Cloud Asset Inventory には、1 つの Cloud IAM 役割 roles/cloudasset.viewer が割り当てられます。この役割は cloudasset.assets.exportResource および cloudasset.assets.exportIamPolicy 権限を付与し、すべての Cloud Asset API メソッドの使用を許可します。roles/owner 役割でもこの権限を付与できます。基本の役割 owner には、他の Google Cloud Platform サービスに対する権限も含まれているのでご注意ください。

GCP Console によるアクセス制御

GCP Console を使用して、環境やプロジェクトのアクセス制御を管理できます。

プロジェクト レベルでアクセス制御を設定するには:

  1. Google Cloud Platform Console で IAM ページを開きます。
  2. プロジェクトを選択し、[続行] をクリックします。
  3. [メンバーを追加] をクリックします。
  4. まだ Cloud IAM の役割を付与していない新しいメンバーのメールアドレスを入力します。
  5. プルダウン メニューから目的の役割を選択します。
  6. [追加] をクリックします。
  7. 権限を付与した役割の下に、そのメンバーがリストされていることを確認します。
このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Resource Manager のドキュメント