IAM を使用したアクセス制御

このページでは、VPC Service Controls の構成に必要な Identity and Access Management(IAM)のロールについて説明します。

必要なロール

次の表に、アクセス ポリシーの作成と一覧表示に必要な権限とロールを示します。

アクション 必要な権限と役割
組織レベルのアクセス ポリシーまたはスコープ ポリシーを作成する

権限: accesscontextmanager.policies.create

権限を提供するロール: Access Context Manager 編集者のロール(roles/accesscontextmanager.policyEditor

組織レベルのアクセス ポリシーまたはスコープ ポリシーを一覧表示する

権限: accesscontextmanager.policies.list

権限を付与するロール:
  • Access Context Manager 編集者のロール(roles/accesscontextmanager.policyEditor
  • Access Context Manager 読み取りのロール(roles/accesscontextmanager.policyReader

組織レベルでこれらの権限がある場合は、スコープ ポリシーの作成、一覧表示、委任を行うことができます。スコープ ポリシーを作成したら、スコープ ポリシーに対する IAM バインディングを追加することで、ポリシーを管理する権限を付与できます。

組織レベルで付与された権限は、組織レベルのポリシーやスコープ ポリシーを含むすべてのアクセス ポリシーに適用されます。

次の IAM 事前定義ロールは、サービス境界とアクセスレベルを表示または構成するために必要な権限を提供します。

  • Access Context Manager 管理者(roles/accesscontextmanager.policyAdmin
  • Access Context Manager 編集者(roles/accesscontextmanager.policyEditor
  • Access Context Manager 読み取り(roles/accesscontextmanager.policyReader

これらのロールのいずれかを付与するには、Google Cloud コンソール を使用するか、gcloud CLI で次のいずれかのコマンドを実行します。ORGANIZATION_ID は、Google Cloud 組織の ID に置き換えます。

読み取り / 書き込みアクセスを許可するマネージャー管理者ロールを付与する

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

読み取り / 書き込みアクセスを許可するマネージャー編集者ロールを付与する

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

読み取り専用アクセスを許可するマネージャー閲覧者のロールを付与する

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"