VMware Engine IAM のロールと権限

Google Cloud VMware Engine には、固有の Identity and Access Management(IAM)ロールセットがあります。各事前定義ロールには、一連の権限が含まれています。

プロジェクトに新しいメンバーを追加する際は、IAM ポリシーを使用してそのメンバーに 1 つ以上の IAM ロールを割り当てることができます。各 IAM ロールには、メンバーに VMware Engine リソースへのアクセス権を付与する権限が含まれています。

VMware Engine へのアクセスの管理

このガイドでは、最小権限の原則を使用して、VMware Engine にアクセスし、特定の親リソース(Google Cloud プロジェクトや組織など)へのアクセス権を付与する方法について説明します。リソースに IAM ポリシーを設定することで、プロジェクトへのアクセス権を付与します。このポリシーでは、ユーザーやサービス アカウントなどの 1 つ以上のメンバーを 1 つ以上のロールにバインドします。各ロールには、メンバーがリソースを操作できる権限のリストが含まれています。

IAM には、次の 3 種類のロールがあります。

  • 基本ロール: IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。

  • 事前定義されたロール: 特定のサービスへのアクセスを細かく制御します。また、Google Cloud により管理されます。事前定義されたロールは、一般的なユースケースとアクセス制御パターンをサポートすることを目的としています。

  • カスタムのロール: ユーザー指定の権限リストに従って、アクセスを細かく制御します。

VMware Engine の権限

権限 説明
vmwareengine.googleapis.com/services.view VMware Engine ポータルとリソースに対する読み取りアクセス権。
vmwareengine.googleapis.com/services.use VMware Engine ポータルとリソースに対する管理者アクセス権

VMware Engine のロール

役割 説明
VMware Engine Service Viewer VMware Engine ポータルとリソースに対する読み取りアクセス権。
VMware Engine Service Admin VMware Engine ポータルとリソースに対する管理者アクセス権

プロジェクトに対する基本ロール

デフォルトでは、Cloud プロジェクトへのアクセス権を付与すると、VMware Engine のプライベート クラウドへのアクセス権も付与されます。プロジェクト オーナーのロールを持つユーザーは、どのプロジェクトのロールも取り消すことができます。

基本ロール 機能
Viewer VMware Engine コンソール、プライベート クラウド、すべてのリソースを表示できます。
Owner Viewer で可能な操作に加えて、次の操作が可能です。
  • すべてのネットワーク リソースと外部 IP アドレスを含む全リソースを作成、更新、削除できます。Owner ロールは、プライベート クラウドの作成と追加、プライベート クラウドへのノードの追加と削除を行うこともできます。
Editor Owner と同じ。

VMware Engine へのアクセス権の付与または取り消し

VMware Engine ポータルへのアクセス権は、ロール別であり、プロジェクト レベルで適用されます。プロジェクトに複数のプライベート クラウドが含まれている場合、個々のプライベート クラウドにロールを適用することはできません。

アクセス権の付与

チームメンバーをプロジェクトに追加し、VMware Engine ロールを付与するには、次の操作を行います。

  1. Google Cloud Console の [IAM] ページに移動します。

    IAM ページに移動

  2. [プロジェクトを選択] をクリックし、プロジェクトを選択して [開く] をクリックします。

  3. [追加] をクリックします。

  4. メールアドレスを入力します。個人、サービス アカウント、グループをメンバーとして追加できます。

  5. ユーザーまたはグループが必要とするアクセスの種類に応じて、VMware Engine サービス閲覧者または VMware Engine サービス管理者のロールを選択します。ロールにより、メンバーに適切な権限レベルが付与されます。セキュリティを最大限に高めるために、各ユーザーまたはグループには必要最小限の権限を付与することを強くおすすめします。オーナーレベルの権限を持つメンバーは VMware Engine リソースのすべての側面を管理できます。

  6. [保存] をクリックします。

アクセス権の取り消し

ユーザーまたはグループから VMware Engine のアクセス権を取り消すには、次を行います。

  1. Google Cloud Console の [IAM] ページに移動します。

    IAM ページに移動

  2. [プロジェクトを選択] をクリックし、プロジェクトを選択して [開く] をクリックします。

  3. アクセスを取り消すユーザーまたはグループを見つけて、[編集] をクリックします。

  4. 取り消すロールごとに [削除] をクリックし、[保存] をクリックします。

次のステップ