このページでは、Identity and Access Management(IAM)を使用して CTS へのアクセスと権限を制御する方法について説明します。
概要
Google Cloud Platform には Identity and Access Management(IAM)機能があり、特定の Google Cloud Platform リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Cloud Talent Solution の IAM の役割と権限について説明します。Google Cloud Platform IAM の詳細については、IAM のドキュメントをご覧ください。
CTS には、CTS リソースへのアクセスを簡単に制御できるように設計された一連の事前定義の役割があります。 事前定義ロールの中に必要な権限を付与するものがない場合は、カスタムロールを独自に作成することもできます。さらに、以前からある基本の役割(編集者、閲覧者、オーナー)もまだ使用できますが、CTS 役割ほど細かい制御はできません。特に、基本ロールでは Cloud CTS だけではなく、Google Cloud Platform 全体のリソースへのアクセスが提供されます。詳細については、基本ロールのドキュメントをご覧ください。
次の表は、基本ロールに加えて、求人検索とプロフィール検索(ベータ版)に使用できる事前定義ロールの概要を示しています。プロフィール検索にご興味がありましたら、こちらからお問い合わせください。
| 役割 | 説明 |
|---|---|
| Admin | ユーザーに Google Cloud Platform 管理ツールへのアクセスのみを許可します。 |
| jobsEditor | 求人検索ユーザーに求人または会社のコンテンツの作成、変更、削除を許可します。 |
| jobsViewer | 求人検索で求人または会社のコンテンツへの読み取り専用アクセスを許可します。 |
| profilesEditor | プロフィール検索ユーザーにプロフィールまたはテナント コンテンツの作成、変更、削除を許可します。 |
| profilesViewer | プロフィール検索でプロフィールまたはテナント コンテンツへの読み取り専用アクセスを許可します。 |
ロール
CTS には、プロジェクト メンバーに、よりきめ細かな権限を付与するために使用できる事前定義済みの役割があります。 プロジェクトのメンバーに役割を付与することで、そのメンバーが実行できるアクションを制御できます。プロジェクト メンバーは、個人、グループ、サービス アカウントのいずれかです。
複数の役割を同じプロジェクト メンバーに付与できます。また、実行する権限を持っている場合、プロジェクト メンバーに付与されている役割をいつでも変更できます。
広範囲な役割には、より限定的に定義された役割が含まれます。たとえば、jobsEditor 役割には、jobsViewer 役割のすべての権限と、jobsEditor 役割の追加の権限が含まれます。
基本の役割(オーナー、編集者、閲覧者)は、Google Cloud Platform 全体に対する権限を付与します。CTS に固有の役割は、CTS の権限のみを付与します。ただし、GCP の一般的な使用に必要な次の GCP 権限を除きます。
resourcemanager.projects.getresourcemanager.projects.listserviceusage.services.listserviceusage.services.get
次の表に、CTS で使用可能な事前定義された役割とその権限を示します。
| 役割 | 名前 | CTS の権限 | 説明 |
|---|---|---|---|
roles/owner |
オーナー | cloudjobdiscovery.* |
すべての Google Cloud Platform リソースに対する完全なアクセス権と制御。ユーザー アクセスを管理し、プロジェクトの請求を設定します。 |
roles/editor |
編集者 | 次を除くすべての cloudjobdiscovery 権限。cloudjobdiscovery.tools.*iam.serviceAccounts.list | 権限と請求の変更を除く、GCP と CTS のすべてのリソースへの読み取り / 書き込みアクセス。 |
roles/viewer |
閲覧者 |
cloudjobdiscovery.*.getcloudjobdiscovery.*.listcloudjobdiscovery.*.searchresourcemanager.projects.getresourcemanager.projects.list |
Cloud Talent Solution リソースを含むすべての GCP リソースへの読み取り専用アクセス。 |
roles/cloudjobdiscovery.admin |
Cloud Talent Solution の管理者 |
cloudjobdiscovery.tools.*iam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list |
Cloud Talent Solution セルフサービス ツールへのアクセス。 |
roles/cloudjobdiscovery.jobsEditor |
求人検索の編集者 |
cloudjobdiscovery.companies.*cloudjobdiscovery.events.*cloudjobdiscovery.jobs.*resourcemanager.projects.listresourcemanager.projects.get |
すべての求人検索データへの書き込みアクセス。 |
roles/cloudjobdiscovery.jobsViewer |
求人検索の閲覧者 |
cloudjobdiscovery.companies.getcloudjobdiscovery.companies.listcloudjobdiscovery.jobs.getcloudjobdiscovery.jobs.searchresourcemanager.projects.getresourcemanager.projects.list |
すべての求人検索リソースへの読み取り専用アクセス。 |
roles/cloudjobdiscovery.profilesEditor |
プロフィール検索の編集者 |
cloudjobdiscovery.profiles.*cloudjobdiscovery.events.*cloudjobdiscovery.tenants.*resourcemanager.projects.listresourcemanager.projects.get |
すべてのプロフィール検索データへの書き込みアクセス。 |
roles/cloudjobdiscovery.profilesViewer |
プロフィール検索の閲覧者 |
cloudjobdiscovery.profiles.getcloudjobdiscovery.profiles.searchcloudjobdiscovery.tenants.getresourcemanager.projects.getresourcemanager.projects.list |
すべてのプロフィール検索リソースへの読み取り専用アクセス。 |
CTS IAM の管理
IAM ポリシーとロールの取得や設定には、Google Cloud Platform Console、IAM API メソッド、Cloud Talent Solution API を使用できます。詳細については、プロジェクト メンバーに対するアクセス権の付与、変更、取り消しをご覧ください。
次のステップ
- プロジェクト メンバーへのアクセスの許可と取り消しを行う方法を学習する。
- IAM の詳細について学習する。
- 基本役割の詳細を確認する。
- カスタムロールについて学習する。