VMware Engine IAM のロールと権限

Google Cloud VMware Engine には、固有の Identity and Access Management（IAM）ロールセットがあります。各事前定義ロールには、一連の権限が含まれています。

プロジェクトに新しいメンバーを追加する際は、IAM ポリシーを使用してそのメンバーに 1 つ以上の IAM ロールを割り当てることができます。各 IAM ロールには、メンバーに VMware Engine リソースへのアクセス権を付与する権限が含まれています。

VMware Engine へのアクセスの管理

このガイドでは、最小権限の原則を使用して、VMware Engine にアクセスし、特定の親リソース（Google Cloud プロジェクトや組織など）へのアクセス権を付与する方法について説明します。リソースに IAM ポリシーを設定することで、プロジェクトへのアクセス権を付与します。このポリシーでは、ユーザーやサービスアカウントなどの 1 つ以上のメンバーを 1 つ以上のロールにバインドします。各ロールには、メンバーがリソースを操作できる権限のリストが含まれています。

IAM には、次の 3 種類のロールがあります。

基本ロール: IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。
注: オーナーと編集者の基本ロールには、VMware Engine サービス管理者ロールが含まれ、閲覧者の基本ロールには、VMware Engine サービス閲覧者ロールが含まれています。
事前定義されたロール: 特定のサービスへのアクセスを細かく制御します。また、Google Cloud により管理されます。事前定義されたロールは、一般的なユースケースとアクセス制御パターンをサポートすることを目的としています。
カスタムのロール: ユーザー指定の権限リストに従って、アクセスを細かく制御します。

VMware Engine の権限

権限	説明
`vmwareengine.googleapis.com/services.view`	VMware Engine ポータルとリソースに対する読み取りアクセス権。
`vmwareengine.googleapis.com/services.use`	VMware Engine ポータルとリソースに対する管理者アクセス権

VMware Engine のロール

役割	説明
`VMware Engine Service Viewer`	VMware Engine ポータルとリソースに対する読み取りアクセス権。
`VMware Engine Service Admin`	VMware Engine ポータルとリソースに対する管理者アクセス権

プロジェクトに対する基本ロール

デフォルトでは、Cloud プロジェクトへのアクセス権を付与すると、VMware Engine のプライベートクラウドへのアクセス権も付与されます。プロジェクトオーナーのロールを持つユーザーは、どのプロジェクトのロールも取り消すことができます。

基本ロール	機能
`Viewer`	VMware Engine コンソール、プライベートクラウド、すべてのリソースを表示できます。
`Owner`	`Viewer` で可能な操作に加えて、次の操作が可能です。すべてのネットワークリソースと外部 IP アドレスを含む全リソースを作成、更新、削除できます。`Owner` ロールは、プライベートクラウドの作成と追加、プライベートクラウドへのノードの追加と削除を行うこともできます。
`Editor`	`Owner` と同じ。

VMware Engine へのアクセス権の付与または取り消し

VMware Engine ポータルへのアクセス権は、ロール別であり、プロジェクトレベルで適用されます。プロジェクトに複数のプライベートクラウドが含まれている場合、個々のプライベートクラウドにロールを適用することはできません。

アクセス権の付与

チームメンバーをプロジェクトに追加し、VMware Engine ロールを付与するには、次の操作を行います。

Google Cloud Console の [IAM] ページに移動します。

IAM ページに移動
[プロジェクトを選択] をクリックし、プロジェクトを選択して [開く] をクリックします。
[追加] をクリックします。
メールアドレスを入力します。個人、サービスアカウント、グループをメンバーとして追加できます。
ユーザーまたはグループが必要とするアクセスの種類に応じて、VMware Engine サービス閲覧者または VMware Engine サービス管理者のロールを選択します。ロールにより、メンバーに適切な権限レベルが付与されます。セキュリティを最大限に高めるために、各ユーザーまたはグループには必要最小限の権限を付与することを強くおすすめします。オーナーレベルの権限を持つメンバーは VMware Engine リソースのすべての側面を管理できます。
[保存] をクリックします。

アクセス権の取り消し

ユーザーまたはグループから VMware Engine のアクセス権を取り消すには、次を行います。

Google Cloud Console の [IAM] ページに移動します。

IAM ページに移動
[プロジェクトを選択] をクリックし、プロジェクトを選択して [開く] をクリックします。
アクセスを取り消すユーザーまたはグループを見つけて、[編集] をクリックします。
取り消すロールごとに [削除] をクリックし、[保存] をクリックします。

次のステップ

VMware Engine のノード割り当てについて学習する。