このページでは、 Trusted Cloud リソースへのアクセスを制御するために使用するロールのタイプ(事前定義、カスタム、基本)について説明します。
事前定義ロールを使用する場合
ほとんどの場合、基本ロールまたはカスタムロールの代わりに事前定義ロールを使用できます。事前定義ロールは、特定のTrusted Cloud リソースへのきめ細かいアクセス権を付与します。Google によって管理され、Trusted Cloudに新しい権限、機能、サービスが追加されると自動的に更新されます。
ただし、カスタムロールまたは基本ロールを使用する場合もあります。以降のセクションでは、これらのケースについて説明します。
カスタムロールが必要な場合
事前定義ロールとは異なり、カスタムロールは Google によって管理されません。つまり、 Trusted Cloud が新しい権限、機能、サービスを追加しても、カスタムロールは自動的に更新されません。そのため、ニーズに合わせて最も制限された事前定義ロールを付与することをおすすめします。
ただし、次のような場合はカスタムロールを作成して付与することをおすすめします。
- プリンシパルには権限が必要ですが、事前定義ロールにはプリンシパルに不要な権限や、含める必要のない権限も含まれています。
カスタムロールを使用する場合は、次の制限に注意してください。
- カスタムロールには、最大 3,000 個の権限を含めることができます。
- カスタムロールのタイトル、説明、権限名の最大合計サイズは 64 KB です。
作成できるカスタムロールの数には制限があります。
- 組織レベルで最大 300 の組織レベルのカスタムロールを作成できます。
- 組織内のプロジェクトごとに最大 300 個のプロジェクト レベルのカスタムロールを作成できます。
基本ロールを使用する場合
基本ロールには、すべての Trusted Cloud サービスにかかわる多くの権限が含まれます。本番環境では、他に選択肢がない限り、基本ロールを付与しないでください。代わりに、ニーズに合わせて最も制限された事前定義ロールまたはカスタムロールを付与します。
プロジェクトに幅広い権限を付与する場合は、基本ロールを付与することをおすすめします。この状況は、開発環境またはテスト環境で権限を付与する場合によく生じます。
次のステップ
- 適切な事前定義ロールを見つける方法を確認する。
- カスタムロールを作成する方法を学ぶ。
- 基本ロールの詳細について学習する。