VMware Engine IAM のロールと権限

Google Cloud VMware Engine には、固有の Identity and Access Management（IAM）ロールセットがあります。各ロールには、一連の権限が含まれています。

プロジェクトに新しいメンバーを追加する際は、IAM ポリシーを使用してそのメンバーに 1 つ以上の IAM ロールを割り当てることができます。各 IAM ロールには、メンバーに VMware Engine リソースへのアクセス権を付与する権限が含まれています。

VMware Engine へのアクセスを管理する

このガイドでは、Google Cloud プロジェクトや組織などの特定の親リソースへのアクセス権を付与することで、最小権限の原則に従って VMware Engine へのアクセスを管理する方法について説明します。リソースに IAM ポリシーを設定することで、プロジェクトへのアクセス権を付与します。このポリシーでは、ユーザーやサービスアカウントなどの 1 つ以上のメンバーを 1 つ以上のロールにバインドします。各ロールには、メンバーがリソースを操作できる権限のリストが含まれています。

IAM には、次の 3 種類のロールがあります。

基本ロール: IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。
事前定義ロール: 特定のサービスへのアクセスを詳細に制御します。また、Google Cloud により管理されます。事前定義ロールは、一般的なユースケースとアクセス制御パターンをサポートすることを目的としています。
カスタムロール: ユーザー指定の権限リストに従って、アクセスを詳細に制御します。

VMware Engine の権限

権限	説明
`vmwareengine.googleapis.com/services.view`	VMware Engine ポータルとリソースに対する読み取りアクセス権。
`vmwareengine.googleapis.com/services.use`	VMware Engine ポータルとリソースに対する管理者権限。

VMware Engine のロール

ロール	説明
`VMware Engine Service Viewer`	VMware Engine ポータルとリソースに対する読み取りアクセス権。
`VMware Engine Service Admin`	VMware Engine ポータルとリソースに対する管理者権限。

プロジェクトの基本ロール

デフォルトでは、Cloud プロジェクトへのアクセス権を付与すると、VMware Engine のプライベートクラウドへのアクセス権も付与されます。プロジェクトの Owner ロールを持つユーザーは、任意のプロジェクトのロールを付与、取り消し、変更できます。

基本ロール機能

Viewer VMware Engine コンソール、プライベートクラウド、すべてのリソースを表示できます。このロールには、VMware Engine Service Viewer ロールが含まれます。

基本ロール	機能
`Viewer`	VMware Engine コンソール、プライベートクラウド、すべてのリソースを表示できます。このロールには、`VMware Engine Service Viewer` ロールが含まれます。
`Editor`	`Viewer` で可能な操作に加えて、次の操作が可能です。すべてのネットワークリソースと外部 IP アドレスを含む全リソースを作成、更新、削除できます。`Editor` ロールは、プライベートクラウドの作成と追加、プライベートクラウドへのノードの追加と削除を行うこともできます。このロールには、`VMware Engine Service Admin` ロールが含まれます。
`Owner`	`Editor` と同一です。

Editor

Viewer で可能な操作に加えて、次の操作が可能です。

すべてのネットワークリソースと外部 IP アドレスを含む全リソースを作成、更新、削除できます。Editor ロールは、プライベートクラウドの作成と追加、プライベートクラウドへのノードの追加と削除を行うこともできます。このロールには、VMware Engine Service Admin ロールが含まれます。

Owner Editor と同一です。

VMware Engine へのアクセス権の付与と取り消し

ロールを使用して VMware Engine ポータルへのアクセス権を付与し、ロールをプロジェクトレベルで VMware Engine リソースに適用します。プロジェクトに複数のプライベートクラウドが含まれている場合、個別のプライベートクラウドにロールを適用することはできません。

アクセス権の付与

チームメンバーをプロジェクトに追加し、VMware Engine のロールを付与するには、次の手順を行います。

Google Cloud Console の [IAM] ページに移動します。

[IAM] ページに移動
[プロジェクトを選択] をクリックし、プロジェクトを選択して [開く] をクリックします。
[追加] をクリックします。
メールアドレスを入力します。個人、サービスアカウント、グループをメンバーとして追加できます。
ユーザーまたはグループが必要とするアクセス権の種類に基づいて VMware Engine Service Viewer ロールまたは VMware Engine Service Admin ロールを選択します。ロールはメンバーに特定レベルの権限を与えます。

可能な限り最適なセキュリティを実現するため、各ユーザーまたはグループには必要最小限の権限を付与することを強くおすすめします。Owner のロールを持つメンバーは、VMware Engine リソースのすべての側面を管理できます。
[保存] をクリックします。

アクセス権の取り消し

ユーザーまたはグループから VMware Engine のアクセス権を取り消す手順は次のとおりです。

Google Cloud Console の [IAM] ページに移動します。

[IAM] ページに移動
[プロジェクトを選択] をクリックし、プロジェクトを選択して [開く] をクリックします。
アクセス権を取り消すユーザーまたはグループを見つけて、[編集] をクリックします。
取り消すロールごとに [削除] をクリックし、[保存] をクリックします。