このページの一部またはすべての情報は、S3NS の Cloud de Confiance に適用されない場合があります。詳細については、
Google Cloud との違い をご確認ください。
Google uses AI technology to translate content into your preferred language. AI translations can contain errors.
ロールと権限
Cloud de Confiance by S3NS には Identity and Access Management(IAM)機能があり、特定のCloud de Confiance リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Service Directory API のロールについて説明します。IAM の詳細については、IAM のドキュメント をご覧ください。
IAM を使用すると、セキュリティに関する最小権限の原則 を導入できるため、リソースに対する必要なアクセス権のみを付与できます。
IAM では、IAM ポリシーを設定して、誰に、どのリソースに対するどのアクセス権を付与するかを制御できます。
権限とロール
すべての Service Directory API メソッドでは、呼び出し元に必要な IAM 権限が必要です。権限を割り当てるには、ユーザー、グループ、またはサービス アカウントにロールを付与します。基本ロールであるオーナー、編集者、閲覧者に加えて、Service Directory API のロールをプロジェクトのユーザーに付与できます。
権限
各メソッドに必要な権限については、Service Directory の API リファレンス ドキュメント をご覧ください。
ロール
Role
Permissions
Service Directory Admin
(roles/servicedirectory.admin )
Full control of all Service Directory resources and permissions.
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.endpoints.*
servicedirectory.endpoints.create servicedirectory.endpoints.delete servicedirectory.endpoints.getservicedirectory.endpoints.getIamPolicy servicedirectory.endpoints.list servicedirectory.endpoints.setIamPolicy servicedirectory.endpoints.update
servicedirectory.locations.*
servicedirectory.locations.getservicedirectory.locations.list
servicedirectory.namespaces.*
servicedirectory.namespaces.associatePrivateZone servicedirectory.namespaces.create servicedirectory.namespaces.delete servicedirectory.namespaces.get servicedirectory.namespaces.getIamPolicy servicedirectory.namespaces.list servicedirectory.namespaces.setIamPolicy servicedirectory.namespaces.update
servicedirectory.networks.attach
servicedirectory.services.*
servicedirectory.services.bindservicedirectory.services.create servicedirectory.services.delete servicedirectory.services.getservicedirectory.services.getIamPolicy servicedirectory.services.listservicedirectory.services.resolve servicedirectory.services.setIamPolicy servicedirectory.services.update
Service Directory Editor
(roles/servicedirectory.editor )
Edit Service Directory resources.
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.endpoints.create
servicedirectory.endpoints.delete
servicedirectory.endpoints.get
servicedirectory.endpoints.getIamPolicy
servicedirectory.endpoints.list
servicedirectory.endpoints.update
servicedirectory.locations.*
servicedirectory.locations.getservicedirectory.locations.list
servicedirectory.namespaces.associatePrivateZone
servicedirectory.namespaces.create
servicedirectory.namespaces.delete
servicedirectory.namespaces.get
servicedirectory.namespaces.getIamPolicy
servicedirectory.namespaces.list
servicedirectory.namespaces.update
servicedirectory.networks.attach
servicedirectory.services.bind
servicedirectory.services.create
servicedirectory.services.delete
servicedirectory.services.get
servicedirectory.services.getIamPolicy
servicedirectory.services.list
servicedirectory.services.resolve
servicedirectory.services.update
Service Directory Viewer
(roles/servicedirectory.viewer )
View Service Directory resources.
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.endpoints.get
servicedirectory.endpoints.getIamPolicy
servicedirectory.endpoints.list
servicedirectory.locations.*
servicedirectory.locations.getservicedirectory.locations.list
servicedirectory.namespaces.get
servicedirectory.namespaces.getIamPolicy
servicedirectory.namespaces.list
servicedirectory.services.get
servicedirectory.services.getIamPolicy
servicedirectory.services.list
servicedirectory.services.resolve
Service Directory Network Attacher
(roles/servicedirectory.networkAttacher )
Gives access to attach VPC Networks to Service Directory Endpoints
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.networks.attach
Private Service Connect Authorized Service
(roles/servicedirectory.pscAuthorizedService )
Gives access to VPC Networks via Service Directory
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.networks.access
Service agent roles
Service agent roles should only be granted to service agents .
Role
Permissions
Service Directory Service Agent
(roles/servicedirectory.serviceAgent )
Give the Service Directory service agent access to Cloud Platform resources.
Warning: Do not grant service agent roles to any principals except
service agents .
container.clusters.get
gkehub.features.get
gkehub.gateway.delete
gkehub.gateway.generateCredentials
gkehub.gateway.get
gkehub.gateway.patch
gkehub.gateway.post
gkehub.gateway.put
gkehub.locations.*
gkehub.locations.getgkehub.locations.list
gkehub.memberships.get
gkehub.memberships.list
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.endpoints.create
servicedirectory.endpoints.delete
servicedirectory.endpoints.get
servicedirectory.endpoints.getIamPolicy
servicedirectory.endpoints.list
servicedirectory.endpoints.update
servicedirectory.locations.*
servicedirectory.locations.getservicedirectory.locations.list
servicedirectory.namespaces.associatePrivateZone
servicedirectory.namespaces.create
servicedirectory.namespaces.delete
servicedirectory.namespaces.get
servicedirectory.namespaces.getIamPolicy
servicedirectory.namespaces.list
servicedirectory.namespaces.update
servicedirectory.networks.attach
servicedirectory.services.bind
servicedirectory.services.create
servicedirectory.services.delete
servicedirectory.services.get
servicedirectory.services.getIamPolicy
servicedirectory.services.list
servicedirectory.services.resolve
servicedirectory.services.update
Cloud de Confiance コンソールを使用したアクセス制御
Cloud de Confiance コンソールを使用して、レジストリのアクセス制御を管理できます。
プロジェクト レベルでアクセス制御を設定するには:
コンソール
Cloud de Confiance コンソールで、[IAM ] ページに移動します。
IAM に移動
上部にあるプルダウン メニューからプロジェクトを選択します。
[追加 ] をクリックします。
[新しいプリンシパル ] に、新しいプリンシパルのメールアドレスを入力します。
プルダウン メニューから目的のロール(servicedirectory.admin、servicedirectory.editor、servicedirectory.viewer)を選択します。
[保存 ] をクリックします。
付与したロールにそのプリンシパルがリストされているかを確認します。
Service Directory ゾーンは IAM の制限をオーバーライドする
Namespace を Service Directory ゾーンに割り当てると、プライベート ゾーンのクエリを許可されているネットワーク上のすべてのクライアントにサービス名が表示されます。DNS プロトコルには認証機能がないため、DNS の IAM アクセス制御はありません。
次のステップ
Identity and Access Management(IAM)の詳細については、IAM のドキュメント をご覧ください。
Service Directory の概要については、概要 をご覧ください。
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンス により使用許諾されます。コードサンプルは Apache 2.0 ライセンス により使用許諾されます。詳しくは、Google Developers サイトのポリシー をご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2026-06-03 UTC。
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["必要な情報がない","missingTheInformationINeed","thumb-down"],["複雑すぎる / 手順が多すぎる","tooComplicatedTooManySteps","thumb-down"],["最新ではない","outOfDate","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["サンプル / コードに問題がある","samplesCodeIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2026-06-03 UTC。"],[],[]]
