VMware Engine IAM のロールと権限

Google Cloud VMware Engine には、固有の Identity and Access Management(IAM)ロールセットがあります。各ロールには、一連の権限が含まれています。

プロジェクトに新しいメンバーを追加する際は、IAM ポリシーを使用してそのメンバーに 1 つ以上の IAM ロールを割り当てることができます。各 IAM ロールには、メンバーに VMware Engine リソースへのアクセス権を付与する権限が含まれています。

VMware Engine へのアクセスを管理する

このガイドでは、Google Cloud プロジェクトや組織などの特定の親リソースへのアクセス権を付与することで、最小権限の原則に従って VMware Engine へのアクセスを管理する方法について説明します。リソースに IAM ポリシーを設定することで、プロジェクトへのアクセス権を付与します。このポリシーでは、ユーザーやサービス アカウントなどの 1 つ以上のメンバーを 1 つ以上のロールにバインドします。各ロールには、メンバーがリソースを操作できる権限のリストが含まれています。

IAM には、次の 3 種類のロールがあります。

  • 基本ロールには、IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。
  • 事前定義ロールは、特定のサービスへのアクセスを細かく制御し、Google Cloud により管理されます。事前定義ロールは、一般的なユースケースとアクセス制御パターンをサポートするように設計されています。
  • カスタムロールは、ユーザー指定の権限リストに従って、アクセスを細かく制御します。

VMware Engine の権限

権限 説明
vmwareengine.googleapis.com/services.view VMware Engine ポータルとリソースに対する読み取りアクセス権。
vmwareengine.googleapis.com/services.use VMware Engine ポータルとリソースに対する管理者アクセス権。

VMware Engine のロール

役割 説明
VMware Engine Service Viewer VMware Engine ポータルとリソースに対する読み取りアクセス権。
VMware Engine Service Admin VMware Engine ポータルとリソースに対する管理者アクセス権。

プロジェクトの基本ロール

デフォルトでは、Cloud プロジェクトへのアクセス権を付与すると、VMware Engine のプライベート クラウドへのアクセス権も付与されます。プロジェクト オーナーのロールを持つユーザーは、任意のプロジェクトのロールを付与、取り消し、変更できます。

基本ロール 機能
Viewer VMware Engine コンソール、プライベート クラウド、すべてのリソースを表示できます。このロールには、VMware Engine Service Viewer ロールが含まれます。
Editor

Viewer で可能な操作に加えて、次の操作が可能です。

  • すべてのネットワーク リソースと外部 IP アドレスを含む全リソースを作成、更新、削除できます。Editor ロールは、プライベート クラウドの作成と追加、プライベート クラウドへのノードの追加と削除を行うこともできます。このロールには、VMware Engine Service Admin ロールが含まれます。
Owner Editor と同じです。

VMware Engine へのアクセス権の付与または取り消し

ロールを使用して VMware Engine ポータルへのアクセスを許可し、ロールをプロジェクト レベルで VMware Engine リソースに適用します。プロジェクトに複数のプライベート クラウドが含まれている場合、個々のプライベート クラウドにロールを適用することはできません。

VMware Engine へのアクセス権の付与または取り消しの手順については、VMware Engine へのアクセス権の付与または取り消しをご覧ください。

次のステップ