これは、Recommendations AI、Retail Search、新しい Retail コンソールに関するドキュメントです。

Identity and Access Management(IAM)

このページでは、Identity and Access Management(IAM)を使用して Retail のアクセスと権限を制御する方法について説明します。

概要

Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Retail IAM のロールと権限について説明します。Google Cloud IAM の詳細な説明については、IAM のドキュメントをご覧ください。

Retail には、Retail のリソースへのアクセスを簡単に制御できるように設計された、一連の事前定義ロールが用意されています。事前定義ロールの中に必要な権限を付与するものがない場合は、カスタムロールを独自に作成することもできます。また、以前からある基本ロール(編集者、閲覧者、オーナー)も引き続き使用できますが、Retail ロールほど詳細な制御を行うことはできません。特に、基本ロールは Retail だけではなく、Google Cloud 全体のリソースに対するアクセス権を付与します。詳細については、基本ロールのドキュメントをご覧ください。

事前定義されたロール

Retail API には、より詳細な権限をプリンシパルに付与するために使用できる事前定義ロールが用意されています。プリンシパルにロールを付与することで、プリンシパルが実行できるアクションを制御できます。プリンシパルは、個人、グループ、またはサービス アカウントのいずれかです。

複数のロールを同じプリンシパルに付与できます。また、プリンシパルに付与されているロールの変更は、変更する権限を持っていればいつでも行えます。

広範囲な役割には、より限定的に定義された役割が含まれます。たとえば、Retail 編集者のロールには、Retail 閲覧者のロールのすべての権限と、Retail 編集者のロールで追加される権限が含まれています。同様に、Retail 管理者のロールには Retail 編集者のロールと、管理者用に追加される権限が含まれています。

基本ロール(オーナー、編集者、閲覧者)は、Google Cloud 全体に対する権限を付与します。Retail に固有のロールは、Retail の権限のみを付与します。ただし、Google Cloud の一般的な使用に必要な次の Google Cloud(Google Cloud)権限を除きます。

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
  • serviceusage.services.get

次の表は、Retail で利用できる事前定義ロールと、その Retail の権限を示したものです。

名前 Retail 権限
(retail.)
説明
プロジェクト > オーナー All retail permissions すべての Google Cloud リソースに対する完全なアクセス権と制御。ユーザー アクセスを管理し、プロジェクトの請求を設定します。
プロジェクト > 編集者 Retail 管理者ロールの権限を除くすべての retail 権限。 権限と請求を変更できる機能を除く、Google Cloud と Retail のすべてのリソースに対する読み取り / 書き込みアクセス権。
[プロジェクト] > [閲覧者] *.get
*.list
Retail リソースを含むすべての Google Cloud リソースに対する読み取り専用アクセス権。
Retail 管理者 retailProjects.acceptDataTerms
products.purge
products.setSponsorship
userEvents.purge
userEvents.rejoin
attributesConfigs.removeCatalogAttribute
attributesConfigs.batchRemoveCatalogAttributes

このロールには、Retail 編集者ロールと Retail 閲覧者ロールのすべての権限も含まれています。
すべての Retail リソースに対する完全な制御。
Retail 編集者 catalogs.import
catalogs.update
products.create
products.delete
products.update
products.import
userEvents.create
userEvents.import
servingConfigs.create
servingConfigs.update
servingConfigs.delete
controls.create
controls.update
controls.delete
controls.import
controls.export
attributesConfigs.update
attributesConfigs.addCatalogAttribute
attributesConfigs.importCatalogAttributes
attributesConfigs.exportCatalogAttributes
attributesConfigs.replaceCatalogAttribute
completionConfigs.update
models.create
models.delete
models.update
models.pause
models.resume

このロールには、Retail 閲覧者ロールのすべての権限も含まれます。
すべての Retail リソースの読み取りと、productsevents などのリソースの書き込みが可能です。
Retail 閲覧者 retailProjects.get
attributesConfigs.exportCatalogAttributes
catalogs.completeQuery
catalogs.listProductAttributes
controls.export
placements.search
placements.predict
*.get
*.list
すべての Retail リソースに対する読み取り専用アクセス権。

Recommendations AI API から権限を移行する

以前の Recommendations Engine API から Retail API に移行している場合は、次の事前定義ロールには、以前の API の権限も含まれています。

  • Retail 管理者: apiKeys 権限を除き、Recommendations 管理者の権限がすべて含まれます。
  • Retail 編集者: Recommendations 編集者のすべての権限と catalog.update が含まれます。また、apiKeys 権限は含まれません。
  • Retail 閲覧者: Recommendations 閲覧者のすべての権限が含まれます。

Retail IAM を管理する

Google Cloud Console、API の IAM メソッド、または Retail API を使用して、IAM のポリシーとロールの取得と設定ができます。詳細については、アクセス権の付与、変更、取り消しをご覧ください。

次のステップ