Google Cloud VMware Engine には、固有の Identity and Access Management(IAM)ロールセットがあります。各ロールには、一連の権限が含まれています。
プロジェクトに新しいメンバーを追加する際は、IAM ポリシーを使用してそのメンバーに 1 つ以上の IAM ロールを割り当てることができます。各 IAM ロールには、メンバーに VMware Engine リソースへのアクセス権を付与する権限が含まれています。
VMware Engine へのアクセスを管理する
このガイドでは、Google Cloud プロジェクトや組織などの特定の親リソースへのアクセス権を付与することで、最小権限の原則に従って VMware Engine へのアクセスを管理する方法について説明します。リソースに IAM ポリシーを設定することで、プロジェクトへのアクセス権を付与します。このポリシーでは、ユーザーやサービス アカウントなどの 1 つ以上のメンバーを 1 つ以上のロールにバインドします。各ロールには、メンバーがリソースを操作できる権限のリストが含まれています。
IAM には、次の 3 種類のロールがあります。
- 基本ロールには、IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。
- 事前定義ロールは、特定のサービスへのアクセスを細かく制御し、Google Cloud により管理されます。事前定義ロールは、一般的なユースケースとアクセス制御パターンをサポートするように設計されています。
- カスタムロールは、ユーザー指定の権限リストに従って、アクセスを細かく制御します。
VMware Engine の権限
| 権限 | 説明 |
|---|---|
vmwareengine.googleapis.com/services.view |
VMware Engine ポータルとリソースに対する読み取りアクセス権。 |
vmwareengine.googleapis.com/services.use |
VMware Engine ポータルとリソースに対する管理者アクセス権。 |
VMware Engine のロール
| 役割 | 説明 |
|---|---|
VMware Engine Service Viewer |
VMware Engine ポータルとリソースに対する読み取りアクセス権。 |
VMware Engine Service Admin |
VMware Engine ポータルとリソースに対する管理者アクセス権。 |
プロジェクトの基本ロール
デフォルトでは、Cloud プロジェクトへのアクセス権を付与すると、VMware Engine のプライベート クラウドへのアクセス権も付与されます。プロジェクト オーナーのロールを持つユーザーは、任意のプロジェクトのロールを付与、取り消し、変更できます。
| 基本ロール | 機能 |
|---|---|
Viewer |
VMware Engine コンソール、プライベート クラウド、すべてのリソースを表示できます。このロールには、VMware Engine Service
Viewer ロールが含まれます。 |
Editor |
|
Owner |
Editor と同じです。 |
VMware Engine へのアクセス権の付与または取り消し
ロールを使用して VMware Engine ポータルへのアクセスを許可し、ロールをプロジェクト レベルで VMware Engine リソースに適用します。プロジェクトに複数のプライベート クラウドが含まれている場合、個々のプライベート クラウドにロールを適用することはできません。
VMware Engine へのアクセス権の付与または取り消しの手順については、VMware Engine へのアクセス権の付与または取り消しをご覧ください。
次のステップ
- VMware Engine のノード割り当てについて学習する。