リソースの組み込み ID

このページでは、IAM 許可ポリシーでリソースにロールを付与できるリソースの組み込み ID について説明します。

組み込み ID

一部のリソースには組み込み ID があります。これらの ID を使用すると、リソースをプリンシパルのように機能させることができます。その結果、組み込み ID があるリソースでは次のことが可能になります。

たとえば、組み込み ID を持つ Parameter Manager パラメータについて考えてみましょう。パラメータが正しく機能するために、Secret Manager へのアクセスが必要になる場合があります。パラメータに Secret Manager へのアクセスを許可するには、その ID を使用して Secret Manager のシークレット アクセサー ロール(roles/secretmanager.secretAccessor)を付与します。これにより、パラメータはユーザーに代わって Secret Manager シークレットにアクセスできるようになります。

組み込み ID を持つリソースの一覧については、組み込み ID を持つリソースをご覧ください。

リソースの組み込み ID を使用して、Compute Engine インスタンスで実行されているワークロードなど、ユーザー管理のワークロードを認証することはできません。ワークロードを認証する必要がある場合は、Google での認証方法で説明されているいずれかの方法で行います。

組み込み ID を持つリソースにロールを付与する

リソースに組み込み ID がある場合は、許可ポリシーにリソースのプリンシパル ID を含めることで、リソースにロールを付与できます。各リソースのプリンシパル ID に使用する形式を確認するには、単一リソースのプリンシパル ID をご覧ください。

IAM には、タイプや祖先など、特定の特性を持つ組み込み ID を持つリソースセットの識別子も用意されています。これらの ID を許可ポリシーで使用すると、複数のリソースに同じロールを付与できます。サポートされている形式については、リソースセットのプリンシパル ID をご覧ください。