Identity and Access Management(IAM)

このページでは、Identity and Access Management(IAM)を使用して CTS へのアクセスと権限を制御する方法について説明します。

概要

Google Cloud Platform には Identity and Access Management(IAM)機能があり、特定の Google Cloud Platform リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Cloud Talent Solution の IAM の役割と権限について説明します。Google Cloud Platform IAM の詳細については、IAM のドキュメントをご覧ください。

CTS には、CTS リソースへのアクセスを簡単に制御できるように設計された一連の事前定義の役割があります。 事前定義ロールの中に必要な権限を付与するものがない場合は、カスタムロールを独自に作成することもできます。さらに、以前からある基本の役割(編集者、閲覧者、オーナー)もまだ使用できますが、CTS 役割ほど細かい制御はできません。特に、基本ロールでは Cloud CTS だけではなく、Google Cloud Platform 全体のリソースへのアクセスが提供されます。詳細については、基本ロールのドキュメントをご覧ください。

次の表は、基本ロールに加えて、求人検索とプロフィール検索(ベータ版)に使用できる事前定義ロールの概要を示しています。プロフィール検索にご興味がありましたら、こちらからお問い合わせください。

役割 説明
Admin ユーザーに Google Cloud Platform 管理ツールへのアクセスのみを許可します。
jobsEditor 求人検索ユーザーに求人または会社のコンテンツの作成、変更、削除を許可します。
jobsViewer 求人検索で求人または会社のコンテンツへの読み取り専用アクセスを許可します。
profilesEditor プロフィール検索ユーザーにプロフィールまたはテナント コンテンツの作成、変更、削除を許可します。
profilesViewer プロフィール検索でプロフィールまたはテナント コンテンツへの読み取り専用アクセスを許可します。

ロール

CTS には、プロジェクト メンバーに、よりきめ細かな権限を付与するために使用できる事前定義済みの役割があります。 プロジェクトのメンバーに役割を付与することで、そのメンバーが実行できるアクションを制御できます。プロジェクト メンバーは、個人、グループ、サービス アカウントのいずれかです。

複数の役割を同じプロジェクト メンバーに付与できます。また、実行する権限を持っている場合、プロジェクト メンバーに付与されている役割をいつでも変更できます。

広範囲な役割には、より限定的に定義された役割が含まれます。たとえば、jobsEditor 役割には、jobsViewer 役割のすべての権限と、jobsEditor 役割の追加の権限が含まれます。

基本の役割(オーナー、編集者、閲覧者)は、Google Cloud Platform 全体に対する権限を付与します。CTS に固有の役割は、CTS の権限のみを付与します。ただし、GCP の一般的な使用に必要な次の GCP 権限を除きます。

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
  • serviceusage.services.get

次の表に、CTS で使用可能な事前定義された役割とその権限を示します。

役割 名前 CTS の権限 説明
roles/owner オーナー cloudjobdiscovery.* すべての Google Cloud Platform リソースに対する完全なアクセス権と制御。ユーザー アクセスを管理し、プロジェクトの請求を設定します。
roles/editor 編集者 次を除くすべての cloudjobdiscovery 権限。
cloudjobdiscovery.tools.*
iam.serviceAccounts.list
権限と請求の変更を除く、GCP と CTS のすべてのリソースへの読み取り / 書き込みアクセス。
roles/viewer 閲覧者 cloudjobdiscovery.*.get
cloudjobdiscovery.*.list
cloudjobdiscovery.*.search
resourcemanager.projects.get
resourcemanager.projects.list
Cloud Talent Solution リソースを含むすべての GCP リソースへの読み取り専用アクセス。
roles/cloudjobdiscovery.admin Cloud Talent Solution の管理者 cloudjobdiscovery.tools.*
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
Cloud Talent Solution セルフサービス ツールへのアクセス。
roles/cloudjobdiscovery.jobsEditor 求人検索の編集者 cloudjobdiscovery.companies.*
cloudjobdiscovery.events.*
cloudjobdiscovery.jobs.*
resourcemanager.projects.list
resourcemanager.projects.get
すべての求人検索データへの書き込みアクセス。
roles/cloudjobdiscovery.jobsViewer 求人検索の閲覧者 cloudjobdiscovery.companies.get
cloudjobdiscovery.companies.list
cloudjobdiscovery.jobs.get
cloudjobdiscovery.jobs.search
resourcemanager.projects.get
resourcemanager.projects.list
すべての求人検索リソースへの読み取り専用アクセス。
roles/cloudjobdiscovery.profilesEditor プロフィール検索の編集者 cloudjobdiscovery.profiles.*
cloudjobdiscovery.events.*
cloudjobdiscovery.tenants.*
resourcemanager.projects.list
resourcemanager.projects.get
すべてのプロフィール検索データへの書き込みアクセス。
roles/cloudjobdiscovery.profilesViewer プロフィール検索の閲覧者 cloudjobdiscovery.profiles.get
cloudjobdiscovery.profiles.search
cloudjobdiscovery.tenants.get
resourcemanager.projects.get
resourcemanager.projects.list
すべてのプロフィール検索リソースへの読み取り専用アクセス。

CTS IAM の管理

IAM ポリシーとロールの取得や設定には、Google Cloud Platform Console、IAM API メソッド、Cloud Talent Solution API を使用できます。詳細については、プロジェクト メンバーに対するアクセス権の付与、変更、取り消しをご覧ください。

次のステップ