VMware Engine IAM のロールと権限
プロジェクトに新しいメンバーを追加する際は、Identity and Access Management(IAM)ポリシーを使用して、そのメンバーに 1 つ以上の IAM ロールを付与できます。各 IAM ロールには、メンバーに VMware Engine リソースへのアクセス権を付与する権限が含まれています。
このドキュメントでは、VMware Engine に関連する IAM 権限と、それらの権限を付与する IAM ロールについて説明します。IAM とその機能の詳しい説明については、Identity and Access Management の概要とリソースへのアクセス権の付与、変更、取り消しをご覧ください。
ロールのタイプ
リソースへのアクセス権は、リソースの Cloud IAM ポリシーを設定することによって付与します。このポリシーでは、ユーザーやサービス アカウントなどの 1 つ以上のメンバーを 1 つ以上のロールにバインドします。各ロールには、メンバーがリソースを操作できるようにする権限のリストが含まれています。
IAM には、次の 3 種類のロールがあります。
- 事前定義ロール: 特定のサービスに対する細分化されたアクセス権を提供し、Google Cloud により管理されます。事前定義ロールは、一般的なユースケースとアクセス制御パターンをサポートすることを目的としています。
- カスタムロール: ユーザー指定の権限のリストに応じたきめ細かなアクセス権が提供されます。
- 基本ロール: すべての Google Cloud リソースに適用される幅広い権限を含むプロジェクト レベルのロールです。基本ロールには、IAM の導入前から存在するオーナー、編集者、閲覧者のロールが含まれます。
可能な限り、事前定義ロールかカスタムロールを使用することをおすすめします。これらのロールには、VMware Engine にのみ適用されるきめ細かい権限が含まれています。
事前定義ロール
事前定義ロールには、特定のタスクに適した一連の権限が含まれています。特定の権限とロールは、Google Cloud CLI と VMware Engine API にのみ適用されます。VMware Engine の事前定義ロールの包括的なリストを表示するには、IAM ドキュメントの VMware Engine ロール リファレンスをご覧ください。
カスタムロール
VMware Engine の事前定義ロールが要件に合っていない場合は、指定した権限のみを含むカスタムロールを作成できます。実行するタスクを特定し、各タスクに必要な権限をカスタムロールに追加します。
VMware Engine の権限の包括的なリストを表示するには、権限のリファレンスに移動し、接頭辞 vmwareengine
を検索します。
カスタムロールの作成の詳細については、カスタムロールの作成と管理をご覧ください。
VMware Engine へのアクセス権の付与と取り消し
ロールは、プロジェクト レベルで VMware Engine のリソースに適用されます。プロジェクトに複数のプライベート クラウドが含まれている場合、個別のプライベート クラウドにロールを適用することはできません。
アクセスを許可
チームメンバーをプロジェクトに追加し、VMware Engine のロールを付与するには、次の手順を行います。
Google Cloud コンソールで、[IAM と管理] > [IAM] に移動します。
[追加] をクリックします。
メールアドレスを入力します。個人、サービス アカウント、Google グループをメンバーとして追加できます。
ユーザーまたはグループが必要とするアクセス権の種類に応じて、
VMware Engine Service Viewer
ロールまたはVMware Engine Service Admin
ロールを選択します。[保存] をクリックします。
アクセス権を取り消す
ユーザーやグループからロールとそれに対応する権限を削除するには、次のようにします。
Google Cloud コンソールで、[IAM と管理] > [IAM] に移動します。
アクセス権を取り消すユーザーやグループを見つけて、[メンバーを編集] をクリックします。
取り消すロールごとに [削除] をクリックします。
[保存] をクリックします。
VMware Engine の権限
VMware Engine の権限の包括的なリストを表示するには、権限のリファレンスに移動し、接頭辞 vmwareengine
を検索します。
ユーザーには、その権限によって VMware Engine のリソースに対する操作が許可されます。ユーザーには権限を直接付与するのではなく、事前定義ロールまたはカスタムロールを割り当てます。ロールには、1 つ以上の権限が関連付けられています。