VMware Engine IAM のロールと権限
プロジェクトに新しいメンバーを追加する際は、Identity and Access Management(IAM)ポリシーを使用して、そのメンバーに 1 つ以上の IAM ロールを付与できます。各 IAM ロールには、メンバーに VMware Engine リソースへのアクセス権を付与する権限が含まれています。
このドキュメントでは、VMware Engine に関連する IAM 権限と、それらの権限を付与する IAM ロールについて説明します。IAM とその機能の詳しい説明については、Identity and Access Management の概要とリソースへのアクセス権の付与、変更、取り消しをご覧ください。
ロールのタイプ
リソースに IAM ポリシーを設定することで、リソースへのアクセス権を付与します。このポリシーでは、ユーザーやサービス アカウントなどの 1 つ以上のメンバーを 1 つ以上のロールにバインドします。各ロールには、メンバーがリソースを操作できるようにする権限のリストが含まれています。
IAM には、次の 3 種類のロールがあります。
- 事前定義ロールは、特定のサービスへのアクセスを詳細に制御します。また、Google Cloud により管理されます。事前定義ロールは、一般的なユースケースとアクセス制御パターンをサポートすることを目的としています。
- カスタムロールは、ユーザー指定の権限リストに従ってアクセスをきめ細かく制御します。
- 基本ロールは、すべての Google Cloud リソースに適用される幅広い権限を含むプロジェクト レベルのロールです。基本ロールには、IAM の導入前から存在するオーナー、編集者、閲覧者のロールが含まれます。
可能な限り、事前定義ロールかカスタムロールを使用することをおすすめします。これらのロールには、VMware Engine にのみ適用されるきめ細かい権限が含まれています。
事前定義されたロール
事前定義ロールには、特定のタスクに適した一連の権限が含まれています。VMware Engine の事前定義ロールの包括的なリストを表示するには、IAM ドキュメントの VMware Engine ロール リファレンスをご覧ください。
カスタムロール
VMware Engine の事前定義ロールが要件に合っていない場合は、指定した権限のみを含むカスタムロールを作成できます。実行するタスクを特定し、各タスクに必要な権限をカスタムロールに追加します。
VMware Engine の権限の包括的なリストを表示するには、権限のリファレンスに移動し、接頭辞 vmwareengine を検索します。
カスタムロールの作成の詳細については、カスタムロールの作成と管理をご覧ください。
VMware Engine へのアクセス権の付与と取り消し
ロールは、プロジェクト レベルで VMware Engine のリソースに適用されます。プロジェクトに複数のプライベート クラウドが含まれている場合、個別のプライベート クラウドにロールを適用することはできません。
アクセス権を付与する
チームメンバーをプロジェクトに追加し、VMware Engine のロールを付与するには、次の手順を行います。
Google Cloud コンソールで、[IAM と管理] > [IAM] に移動します。
[追加] をクリックします。
メールアドレスを入力します。個人、サービス アカウント、Google グループをメンバーとして追加できます。
ユーザーまたはグループが必要とするアクセス権の種類に応じて、
VMware Engine Service ViewerロールまたはVMware Engine Service Adminロールを選択します。[保存] をクリックします。
アクセス権を取り消す
ユーザーやグループからロールとそれに対応する権限を削除するには、次のようにします。
Google Cloud コンソールで、[IAM と管理] > [IAM] に移動します。
アクセス権を取り消すユーザーまたはグループを見つけて、[編集] をクリックします。
取り消すロールごとに [削除] をクリックします。
[保存] をクリックします。
VMware Engine の権限
VMware Engine の権限の包括的なリストを表示するには、権限のリファレンスに移動し、接頭辞 vmwareengine を検索します。
ユーザーには、その権限によって VMware Engine のリソースに対する操作が許可されます。ユーザーには権限を直接付与するのではなく、事前定義ロールまたはカスタムロールを割り当てます。ロールには、1 つ以上の権限が関連付けられています。