IAM によるアクセス制御

このページでは、Identity and Access Management(IAM)を使用してサービス カタログへのアクセス権を付与および管理する方法について説明します。

始める前に

  • サービス カタログを Google Cloud 組織で有効にしている必要があります。
  • サービス カタログの IAM ロールを付与するには、Google Cloud 組織の組織管理者roles/resourcemanager.organizationAdmin)のロールを付与されている必要があります。

Identity and Access Management(IAM)とは

Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。

IAM では、IAM ポリシーを設定して、誰(ID)に、どのリソースに対するどのような(ロール)権限を付与するかを制御できます。IAM ポリシーは、特定のロールをプリンシパルに付与することで、その ID に特定の権限を付与します。

たとえば、プロジェクトなどの特定のリソースに対し、Google アカウントに roles/compute.networkAdmin のロールを割り当てた場合、そのアカウントはプロジェクト内のネットワーク関連のリソースは制御できますが、インスタンスやディスクなどの他のリソースは管理できません。

サービス カタログ IAM ロール

Service Catalog API と Service Catalog Producer API の両方の各 API メソッドを使用して API リクエストを行う ID には、リソースを使用するための適切な権限が IAM で付与されている必要があります。権限は、ユーザー、グループ、またはサービス アカウントなどのプリンシパルに役割を付与するポリシーを設定することで付与されます。基本ロール(オーナー、編集者、閲覧者)に加え、このページで説明するサービス カタログおよびサービス カタログ プロデューサーのロールもプリンシパルに割り当てることができます。

次の表は、サービス カタログ ユーザーが使用できる IAM ロールの一覧を示します。表はさまざまなロールで整理されています。

カタログ組織管理者

役割名 説明 含まれている権限
roles/cloudprivatecatalogproducer.orgAdmin

Google Cloud 組織レベルでサービス カタログの設定を管理します。ソリューションやカタログなどのサービス カタログ リソースの作成と管理を行います。
  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

カタログ管理者

ロール名 説明 含まれている権限
roles/cloudprivatecatalogproducer.admin

ソリューションやカタログなどのサービス カタログ リソースの作成と管理を行います。
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

カタログ マネージャー

ロール名 説明 含まれている権限
roles/cloudprivatecatalogproducer.manager

ソリューションとカタログを表示し、カタログをサービス カタログ ユーザーと共有します。
  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

カタログ ユーザー

ロール名 説明 含まれている権限
roles/cloudprivatecatalog.consumer カタログを参照します。ソリューションを表示し、起動します。組織、プロジェクト、フォルダなどのターゲットの Google Cloud リソースの下で運用します。
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

サービス カタログ IAM ロールにユーザーを追加する

サービス カタログ IAM のロールにユーザーを追加するには、ユーザー、Google グループ、またはドメインに組織全体の resourcemanager.organizations.setIamPolicy 権限が付与されている必要があります。この権限を付与するには、ユーザーまたはグループに組織管理者のロールを付与します(roles/resourcemanager.organizationAdmin)。

たとえば、組織として、カタログ管理者のロールを付与されたユーザーが、他のユーザーとグループを他のサービス カタログ IAM ロールに追加したり、ロールから削除できるようにもしたい場合、組織管理者は次のことができます。

  • Google グループ(MyCompanyCatalogAdmins)を作成して該当するユーザーを追加します。
  • Google グループ(MyCompanyCatalogAdmins)に組織管理者のロールを割り当てます。
  • Google グループ(MyCompanyCatalogAdmins)にカタログ管理者のロールを割り当てます。

この例では、Google グループ(MyCompanyCatalogAdmins)に組織管理者ロールが付与されたときに setIamPolicy 権限が付与されているため、このグループのメンバーは組織の IAM のロールにユーザーとグループを割り当てることができます。新しいカタログ管理者が組織に加わったときは、Google グループ(MyCompanyCatalogAdmins)に追加して必要なロールを付与します。

サービス カタログ IAM ロールにユーザー、グループ、ドメインを追加する手順は次のとおりです。

  1. Google Cloud Console の [IAM と管理] ページに組織管理者としてログインします。
    Cloud Console の [IAM と管理] ページに移動します。
  2. サイドメニューから [Cloud プライベート カタログ] を選択します。
  3. 割り当てるロールを以下から選択します。
    • カタログ管理者
    • カタログ マネージャー
    • カタログ ユーザー
  4. 追加するユーザー、グループ、またはドメインを指定します。

次のステップ