これは、Recommendations AI、Retail Search、新しい Retail コンソールに関するドキュメントです。制限付き一般提供フェーズで Retail Search を使用するには、Cloud 営業担当者にお問い合わせください

Recommendations AI のみを使用している場合は、Recommendations コンソールを引き続き使用し、Recommendations AI のドキュメントをご覧ください。

Identity and Access Management(IAM)

このページでは、Identity and Access Management(IAM)を使用して Retail のアクセスと権限を制御する方法について説明します。

概要

Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Retail IAM のロールと権限について説明します。Google Cloud IAM の詳細な説明については、IAM のドキュメントをご覧ください。

Retail には、Retail のリソースへのアクセスを簡単に制御できるように設計された、一連の事前定義ロールが用意されています。事前定義ロールの中に必要な権限を付与するものがない場合は、カスタムロールを独自に作成することもできます。また、以前からある基本ロール(編集者、閲覧者、オーナー)も引き続き使用できますが、Retail ロールほど詳細な制御を行うことはできません。特に、基本ロールは Retail だけではなく、Google Cloud 全体のリソースに対するアクセス権を付与します。詳細については、基本ロールのドキュメントをご覧ください。

事前定義されたロール

Retail API には、より詳細な権限をプリンシパルに付与するために使用できる事前定義ロールが用意されています。プリンシパルにロールを付与することで、プリンシパルが実行できるアクションを制御できます。プリンシパルは、個人、グループ、またはサービス アカウントのいずれかです。

複数のロールを同じプリンシパルに付与できます。また、プリンシパルに付与されているロールの変更は、変更する権限を持っていればいつでも行えます。

広範囲な役割には、より限定的に定義された役割が含まれます。たとえば、Retail 編集者のロールには、Retail 閲覧者のロールのすべての権限と、Retail 編集者のロールで追加される権限が含まれています。同様に、Retail 管理者のロールには Retail 編集者のロールと、管理者用に追加される権限が含まれています。

基本ロール(オーナー、編集者、閲覧者)は、Google Cloud 全体に対する権限を付与します。Retail に固有のロールは、Retail の権限のみを付与します。ただし、Google Cloud の一般的な使用に必要な次の Google Cloud(Google Cloud)権限を除きます。

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
  • serviceusage.services.get

次の表は、Retail で利用できる事前定義ロールと、その Retail の権限を示したものです。

名前 Retail 権限
(retail.)
説明
プロジェクト > オーナー All retail permissions すべての Google Cloud リソースに対する完全なアクセス権と制御。ユーザー アクセスを管理し、プロジェクトの請求を設定します。
プロジェクト > 編集者 すべての retail 権限すべての Google Cloud と Retail のリソースに対する読み取り / 書き込みアクセス権(userEvents.purgeuserEvents.rejoin と、権限と請求を変更する権限を除く)。
[プロジェクト] > [閲覧者] *.get
*.list
Retail リソースを含むすべての Google Cloud リソースに対する読み取り専用アクセス権。
Retail 管理者 すべての retail 権限 すべての Retail リソースに対する完全な制御。
Retail 編集者 catalogs.import
catalogs.update
catalogs.list
operations.get
operations.list
products.create
products.delete
products.get
products.import
products.update
userEvents.create
userEvents.import
servingConfigs.create
servingConfigs.update
servingConfigs.delete
controls.create
controls.update
controls.delete
すべての Retail 小売リソースの読み取りと、productsevents の書き込みが可能。ただし、以下は除く:
userEvents.purge
userEvents.rejoin
Retail 閲覧者 catalogs.completeQuery
placements.predict
placements.search
servingConfigs.get
servingConfigs.list
controls.get
controls.list
branches.list
*.get
*.list
すべての Retail リソースに対する読み取り専用権限。

Recommendations AI API からの権限の移行

以前の Recommendations Engine API から Retail API に移行している場合は、次の事前定義ロールには、以前の API の権限も含まれています。

  • Retail 管理者: apiKeys 権限を除き、Recommendations 管理者の権限がすべて含まれます。
  • Retail 編集者: Recommendations 編集者のすべての権限と catalog.update が含まれます。また、apiKeys 権限は含まれません。
  • Retail 閲覧者: Recommendations 閲覧者のすべての権限が含まれます。

Retail IAM の管理

Google Cloud Console、API の IAM メソッド、または Retail API を使用して、IAM のポリシーとロールの取得と設定ができます。詳細については、アクセス権の付与、変更、取り消しをご覧ください。

次のステップ