このページの一部またはすべての情報は、S3NS の Cloud de Confiance に適用されない場合があります。詳細については、Google Cloud との違いをご確認ください。

認証とアクセス制御

Identity and Access Management（IAM）は、 Cloud de Confiance by S3NS 環境で誰が何を実行できるかを制御できるツールです。

アクセスは IAM 権限で制御されます。これは、 Cloud de Confiance 環境内のリソースを操作するために必要です。リソースを操作する権限が付与されると、そのリソースにアクセスする権限が付与されます。適切な認可がないと、 Cloud de Confianceリソースにアクセスできません。

権限とロール

リソースを操作するには、ユーザーアカウントにそのリソースへのアクセス権が必要です。

通常、リソースへのアクセス制御は IAM 管理者が行います。管理者は、プロジェクト、フォルダ、組織内の単一のリソースまたはすべてのリソースにアクセスする権限を付与できます。管理者は、ロールと呼ばれるバンドルで、関連する権限をユーザーアカウントに付与します。ユーザーアカウントに適切な権限を持つロールが付与されている限り、そのロールを使用して Cloud de Confiance リソースにアクセスできます。

通常、Cloud de Confiance 環境内のリソースに対してアクションを実行するワークフローは次のようになります。

リソースに対してアクション（Cloud Storage バケットへのオブジェクトのアップロードなど）を実行しようとしていますが、適切な権限がありません。権限がないと、操作を実行できません。
必要な権限は、リクエスト管理システムから IAM 管理者にリクエストするか、 Cloud de Confiance コンソールの権限エラーメッセージから直接リクエストできます。
IAM 管理者が、適切な権限を含むロールをユーザーアカウントに付与します。これで、アクションが実行可能になります。

管理者として IAM を使用する

通常、管理者はユーザーにロールを付与して、 Cloud de Confiance リソースにアクセスできるようにします。ユーザーは、プリンシパルと呼ばれる認証済み ID で表されます。

リソースに対するプリンシパルにロールを付与するには、リソースに適用されている許可ポリシーを編集します。許可ポリシーには、リソースにアクセスできるプリンシパルと、そのプリンシパルがリソースに対して実行できるアクションが記述されています。IAM は、許可ポリシーを使用して、プリンシパルがリソースにアクセスするために必要な権限を持っているかどうかを判断します。したがって、特定のプリンシパルに特定のリソースへのアクセス権を付与するには、リソースの許可ポリシーを、付与するプリンシパルとロールで更新する必要があります。

管理者は、次のタイプのリソースのプリンシパルにロールを付与できます。

プロジェクト、フォルダ、組織: これらのリソースは、リソース階層の構造化に使用されるコンテナリソースです。これらのコンテナリソースに付与するロールは、それらに含まれるすべてのサービス固有のリソースに適用されます。
サービス固有のリソース: サービスによって提供される機能またはコンポーネントです。たとえば、Compute Engine には、インスタンス、ディスク、サブネットワークなどのリソースがあります。サービス固有のリソースにロールを付与すると、コンテナリソースにロールを付与するよりもきめ細かいアクセス制御が可能になります。これは、ユーザーのアクセスがそのリソースのみに制限されるためです。

IAM による高度なアクセス制御

許可ポリシーは、IAM を使用してCloud de Confiance 環境へのアクセスを制御する最も一般的な方法です。ただし、IAM には、次のようなアクセス制御の高度なオプションもあります。

拒否ポリシー
条件付きの属性ベースのアクセス制御

その他の形式のアクセス制御

IAM はCloud de Confianceの主なアクセス制御方法ですが、ユーザーのリソースへのアクセスに影響を与える可能性のある他の Cloud de Confiance サービスもあります。

ユーザーのアクセスに影響する可能性のある他のサービスの例を次に示します。

Access Context Manager: Access Context Manager を使用すると、 Cloud de Confianceのプロジェクトとリソースに対してきめ細かい属性ベースのアクセス制御を定義できます。
組織のポリシーサービス: 組織のポリシーを使用すると、リソース階層全体にわたる制約を構成して、組織のクラウドリソースをプログラムで一元管理できます。

次のステップ

IAM システムとその仕組みの詳細については、IAM ドキュメントの IAM の概要ページをご覧ください。