Identity and Access Management(IAM)

このページでは、Identity and Access Management(IAM)を使用して CTS へのアクセスと権限を制御する方法について説明します。

概要

Google Cloud Platform には Identity and Access Management(IAM)機能があり、特定の Google Cloud Platform リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Cloud Talent Solution の IAM の役割と権限について説明します。Google Cloud Platform IAM の詳細については、IAM のドキュメントをご覧ください。

CTS には、CTS リソースへのアクセスを簡単に制御できるように設計された一連の事前定義の役割があります。 事前定義ロールの中に必要な権限を付与するものがない場合は、カスタムロールを独自に作成することもできます。また、以前からある基本ロール(編集者、閲覧者、オーナー)も引き続き使用できますが、CTS ロールほど詳細な制御を行うことはできません。特に、基本ロールは CTS だけではなく、Google Cloud Platform 全体のリソースに対するアクセス権を付与します。詳細については、基本ロールのドキュメントをご覧ください。

Job Search で使用できる事前定義ロールの概要を、次の表に示します。

役割 説明
Admin ユーザーに Google Cloud Platform 管理ツールへのアクセスのみを許可します。
jobsEditor 求人検索ユーザーに求人または会社のコンテンツの作成、変更、削除を許可します。
jobsViewer 求人検索で求人または会社のコンテンツへの読み取り専用アクセスを許可します。

事前定義されたロール

CTS には、より細分化された権限をプリンシパルに付与するために使用できる事前定義済みのロールが用意されています。プリンシパルに付与したロールによって、プリンシパルが実行できる操作がコントロールされます。個人、グループ、またはサービス アカウントがプリンシパルになれます。

同じプリンシパルには、複数のロールを付与できます。また、権限がある場合は、プリンシパルに付与したロールをいつでも変更できます。

広範囲な役割には、より限定的に定義された役割が含まれます。たとえば、jobsEditor 役割には、jobsViewer 役割のすべての権限と、jobsEditor 役割の追加の権限が含まれます。

基本ロール(オーナー、編集者、閲覧者)は、Google Cloud Platform 全体に対する権限を付与します。CTS に固有の役割は、CTS の権限のみを付与します。ただし、GCP の一般的な使用に必要な次の GCP 権限を除きます。

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
  • serviceusage.services.get

次の表に、CTS で使用可能な事前定義された役割とその権限を示します。

役割 名前 CTS の権限 説明
roles/owner オーナー cloudjobdiscovery.* すべての Google Cloud Platform リソースに対する完全なアクセス権と制御。ユーザー アクセスを管理し、プロジェクトの請求を設定します。
roles/editor 編集者 次を除くすべての cloudjobdiscovery 権限。
cloudjobdiscovery.tools.*
iam.serviceAccounts.list
権限と請求の変更を除く、GCP と CTS のすべてのリソースへの読み取り / 書き込みアクセス。
roles/viewer 閲覧者 cloudjobdiscovery.*.get
cloudjobdiscovery.*.list
cloudjobdiscovery.*.search
resourcemanager.projects.get
resourcemanager.projects.list
Cloud Talent Solution リソースを含むすべての GCP リソースへの読み取り専用アクセス。
roles/cloudjobdiscovery.admin Cloud Talent Solution の管理者 cloudjobdiscovery.tools.*
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
Cloud Talent Solution セルフサービス ツールへのアクセス。
roles/cloudjobdiscovery.jobsEditor 求人検索の編集者 cloudjobdiscovery.companies.*
cloudjobdiscovery.events.*
cloudjobdiscovery.jobs.*
resourcemanager.projects.list
resourcemanager.projects.get
すべての求人検索データへの書き込みアクセス。
roles/cloudjobdiscovery.jobsViewer 求人検索の閲覧者 cloudjobdiscovery.companies.get
cloudjobdiscovery.companies.list
cloudjobdiscovery.jobs.get
cloudjobdiscovery.jobs.search
resourcemanager.projects.get
resourcemanager.projects.list
すべての求人検索リソースへの読み取り専用アクセス。

CTS IAM の管理

IAM ポリシーとロールの取得や設定には、Google Cloud Platform Console、IAM API メソッド、Cloud Talent Solution API を使用できます。詳細については、アクセス権の付与、変更、取り消しをご覧ください。

次のステップ