VMware Engine IAM のロールと権限

Google Cloud VMware Engine には、固有の Identity and Access Management(IAM)ロールセットがあります。各ロールには、一連の権限が含まれています。

プロジェクトに新しいメンバーを追加する際は、IAM ポリシーを使用してそのメンバーに 1 つ以上の IAM ロールを割り当てることができます。各 IAM ロールには、メンバーに VMware Engine リソースへのアクセス権を付与する権限が含まれています。

VMware Engine へのアクセスを管理する

このガイドでは、Google Cloud プロジェクトや組織などの特定の親リソースへのアクセス権を付与することで、最小権限の原則に従って VMware Engine へのアクセスを管理する方法について説明します。リソースに IAM ポリシーを設定することで、プロジェクトへのアクセス権を付与します。このポリシーでは、ユーザーやサービス アカウントなどの 1 つ以上のメンバーを 1 つ以上のロールにバインドします。各ロールには、メンバーがリソースを操作できる権限のリストが含まれています。

IAM には、次の 3 種類のロールがあります。

  • 基本ロール: IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。
  • 事前定義ロール: 特定のサービスへのアクセスを詳細に制御します。また、Google Cloud により管理されます。事前定義ロールは、一般的なユースケースとアクセス制御パターンをサポートすることを目的としています。
  • カスタムロール: ユーザー指定の権限リストに従って、アクセスを詳細に制御します。

VMware Engine の権限

次の表に、VMware Engine の権限と説明を示します。

権限 説明
vmwareengine.googleapis.com/services.view VMware Engine ポータルとリソースに対する読み取りアクセス権。*
vmwareengine.googleapis.com/services.use VMware Engine ポータルとリソースに対する管理者権限

*この権限があるロールは、vCenter と NSX-T のログイン認証情報も表示できます。

VMware Engine のロール

次の表に、VMware Engine のロールと説明を示します。

ロール 説明
VMware Engine Service Viewer VMware Engine ポータルとリソースに対する読み取りアクセス権。*
VMware Engine Service Admin VMware Engine ポータルとリソースに対する管理者権限

*この権限があるロールは、vCenter と NSX-T のログイン認証情報も表示できます。

プロジェクトの基本ロール

デフォルトでは、Google Cloud プロジェクトへのアクセス権を付与すると、VMware Engine のプライベート クラウドへのアクセス権も付与されます。プロジェクトの Owner ロールを持つユーザーは、任意のプロジェクトのロールを付与、取り消し、変更できます。

基本ロール 機能
Viewer VMware Engine コンソール、プライベート クラウド、すべてのリソースを表示できます。このロールには、VMware Engine Service Viewer ロールが含まれます。
Editor Viewer で可能な操作に加えて、次の操作が可能です。
  • すべてのネットワーク リソースと外部 IP アドレスを含む全リソースを作成、更新、削除できます。Editor ロールは、プライベート クラウドの作成と追加、プライベート クラウドへのノードの追加と削除を行うこともできます。このロールには、VMware Engine Service Admin ロールが含まれます。
Owner Editor と同一です。

VMware Engine へのアクセス権の付与と取り消し

ロールを使用して VMware Engine ポータルへのアクセス権を付与し、ロールをプロジェクト レベルで VMware Engine リソースに適用します。プロジェクトに複数のプライベート クラウドが含まれている場合、個別のプライベート クラウドにロールを適用することはできません。

アクセス権の付与

チームメンバーをプロジェクトに追加し、VMware Engine のロールを付与するには、次の手順を行います。

  1. Google Cloud コンソールの [IAM] ページに移動します。

    [IAM] ページに移動

  2. [プロジェクトを選択] をクリックし、プロジェクトを選択して [開く] をクリックします。

  3. [追加] をクリックします。

  4. メールアドレスを入力します。個人、サービス アカウント、Google グループをメンバーとして追加できます。

  5. ユーザーまたはグループが必要とするアクセス権の種類に基づいて VMware Engine Service Viewer ロールまたは VMware Engine Service Admin ロールを選択します。ロールはメンバーに特定レベルの権限を与えます。

    可能な限り最適なセキュリティを実現するため、各ユーザーまたはグループには必要最小限の権限を付与することを強くおすすめします。Owner のロールを持つメンバーは、VMware Engine リソースのすべての側面を管理できます。

  6. [保存] をクリックします。

アクセス権の取り消し

ユーザーまたはグループから VMware Engine のアクセス権を取り消す手順は次のとおりです。

  1. Google Cloud コンソールの [IAM] ページに移動します。

    [IAM] ページに移動

  2. [プロジェクトを選択] をクリックし、プロジェクトを選択して [開く] をクリックします。

  3. アクセス権を取り消すユーザーまたはグループを見つけて、[編集] をクリックします。

  4. 取り消すロールごとに [削除] をクリックし、[保存] をクリックします。