ロールと権限
コレクションでコンテンツを整理
必要に応じて、コンテンツの保存と分類を行います。
Cloud Asset Inventory は、アクセス制御に Identity and Access Management(IAM)を使用します。 すべての Cloud Asset Inventory API メソッドで、呼び出し元が必要な権限を持っている必要があります。
ロール
アセットのメタデータを操作するために必要な権限を取得するには、組織、フォルダ、またはプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼します。
-
アセットのメタデータを表示するには:
-
アセットのメタデータを表示してフィードを操作するには:
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
これらの事前定義ロールには、アセットのメタデータの操作に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
アセットのメタデータを操作するには、次の権限が必要です。
-
アセットのメタデータを表示するには:
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
serviceusage.services.use
-
アセットのメタデータを表示してフィードを操作するには:
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
serviceusage.services.use
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
権限
次の表に、Cloud Asset Inventory の各 API メソッドを呼び出すか、または Cloud Asset Inventory を使用する Google Cloud ツール( Google Cloud コンソールや gcloud CLI など)を使用してタスクを実行するために、呼び出し元に付与されている必要がある権限を示します。
Cloud Asset 閲覧者(roles/cloudasset.viewer)と Cloud Asset オーナー(roles/cloudasset.owner)のロールには、これらの権限の多くが含まれています。呼び出し元にこれらのロールのいずれかと Service Usage ユーザー(roles/serviceusage.serviceUsageConsumer)ロールが付与されている場合、Cloud Asset Inventory の使用に必要な権限がすでに付与されている可能性があります。
RPC
| メソッド |
必要な権限 |
| すべての API |
| すべての Cloud Asset Inventory 呼び出し |
Cloud Asset Inventory のすべての呼び出しには serviceusage.services.use 権限が必要です。
|
| 分析 API |
AnalyzeIamPolicy
AnalyzeIamPolicyLongRunning
BatchGetEffectiveIamPolicies
|
次のすべての権限:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
: カスタムロールでポリシーを分析する
Google Workspace を操作するには、追加の権限が必要です。
|
AnalyzeMove
|
cloudasset.assets.analyzeMove
|
AnalyzeOrgPolicies
AnalyzeOrgPolicyGovernedContainers
|
次のすべての権限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
AnalyzeOrgPolicyGovernedAssets
|
次のすべての権限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| フィード API |
CreateFeed
|
cloudasset.feeds.create
また、コンテンツ タイプに応じて、次のいずれかの権限も必要です。
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
DeleteFeed
|
cloudasset.feeds.delete
|
GetFeed
|
cloudasset.feeds.get
|
ListFeed
|
cloudasset.feeds.list
|
UpdateFeed
|
cloudasset.feeds.update
また、コンテンツ タイプに応じて、次のいずれかの権限も必要です。
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
BatchGetAssetsHistory
ExportAssets
|
コンテンツ タイプに応じて、次のいずれかの権限。
-
cloudasset.assets.exportAccessPolicy
ACCESS_POLICY コンテンツ タイプを使用する場合。
-
cloudasset.assets.exportIamPolicy
IAM_POLICY コンテンツ タイプを使用する場合。
-
cloudasset.assets.exportOrgPolicy
ORG_POLICY コンテンツ タイプを使用する場合。
-
cloudasset.assets.exportOSInventories
OS_INVENTORY コンテンツ タイプを使用する場合。
-
cloudasset.assets.exportResource
RELATIONSHIP または RESOURCE コンテンツ タイプを使用する場合。
リソース アクセスの制限
ユーザーに
cloudasset.assets.exportResource
権限を付与すると、すべてのリソースタイプをエクスポートできます。ユーザーがエクスポートできるリソースタイプを制限するには、代わりにリソースタイプごとに権限を付与します。たとえば、cloudasset.assets.exportComputeDisks 権限のみを付与して、ユーザーが compute.googleapis.com/Disk リソースタイプのみをエクスポートできるようにすることができます。
これらのきめ細かい権限は、RESOURCE と未指定の
コンテンツ タイプにのみ適用されます。
きめ細かい cloudasset.assets.export* 権限のリストを表示します。
|
ListAssets
|
コンテンツ タイプに応じて、次のいずれかの権限。
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
RELATIONSHIP コンテンツ タイプと RESOURCE コンテンツ タイプを使用する場合。
リソース アクセスの制限
ユーザーに
cloudasset.assets.listResource
権限を付与すると、すべてのリソースタイプを一覧表示できます。ユーザーが一覧表示できるリソースタイプを制限するには、代わりに各リソースタイプの権限を付与します。たとえば、cloudasset.assets.listComputeDisks 権限を単独で付与して、ユーザーが compute.googleapis.com/Disk リソースタイプのみを一覧表示できるようにすることができます。
これらのきめ細かい権限は、RESOURCE と未指定の
コンテンツ タイプにのみ適用されます。
きめ細かい cloudasset.assets.list* 権限のリストを表示します。
|
QueryAssets
|
コンテンツ タイプに応じて、次のいずれかの権限。
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
RELATIONSHIP と RESOURCE の両方のコンテンツ タイプ用の
cloudasset.assets.queryResource
。
|
| Search API |
SearchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
SearchAllResources
|
cloudasset.assets.searchAllResources
リソース オーナーの拡充を検索する場合は、
cloudasset.assets.searchEnrichmentResourceOwners
も必要です。
|
REST
| メソッド |
必要な権限 |
| すべての API |
| すべての Cloud Asset Inventory 呼び出し |
Cloud Asset Inventory のすべての呼び出しには serviceusage.services.use 権限が必要です。
|
| 分析 API |
analyzeIamPolicy
analyzeIamPolicyLongRunning
effectiveIamPolicies.batchGet
|
次のすべての権限:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
: カスタムロールでポリシーを分析する
Google Workspace を操作するには、追加の権限が必要です。
|
analyzeMove
|
cloudasset.assets.analyzeMove
|
analyzeOrgPolicies
analyzeOrgPolicyGovernedContainers
|
次のすべての権限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyzeOrgPolicyGovernedAssets
|
次のすべての権限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| フィード API |
feeds.create
|
cloudasset.feeds.create
また、コンテンツ タイプに応じて、次のいずれかの権限も必要です。
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds.delete
|
cloudasset.feeds.delete
|
feeds.get
|
cloudasset.feeds.get
|
feeds.list
|
cloudasset.feeds.list
|
feeds.patch
|
cloudasset.feeds.update
また、コンテンツ タイプに応じて、次のいずれかの権限も必要です。
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
batchGetAssetsHistory
exportAssets
|
コンテンツ タイプに応じて、次のいずれかの権限。
-
cloudasset.assets.exportAccessPolicy
ACCESS_POLICY コンテンツ タイプを使用する場合。
-
cloudasset.assets.exportIamPolicy
IAM_POLICY コンテンツ タイプを使用する場合。
-
cloudasset.assets.exportOrgPolicy
ORG_POLICY コンテンツ タイプを使用する場合。
-
cloudasset.assets.exportOSInventories
OS_INVENTORY コンテンツ タイプを使用する場合。
-
cloudasset.assets.exportResource
RELATIONSHIP または RESOURCE コンテンツ タイプを使用する場合。
リソース アクセスの制限
ユーザーに
cloudasset.assets.exportResource
権限を付与すると、すべてのリソースタイプをエクスポートできます。ユーザーがエクスポートできるリソースタイプを制限するには、代わりにリソースタイプごとに権限を付与します。たとえば、cloudasset.assets.exportComputeDisks 権限のみを付与して、ユーザーが compute.googleapis.com/Disk リソースタイプのみをエクスポートできるようにすることができます。
これらのきめ細かい権限は、RESOURCE と未指定の
コンテンツ タイプにのみ適用されます。
きめ細かい cloudasset.assets.export* 権限のリストを表示します。
|
assets.list
|
コンテンツ タイプに応じて、次のいずれかの権限。
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
RELATIONSHIP コンテンツ タイプと RESOURCE コンテンツ タイプを使用する場合。
リソース アクセスの制限
ユーザーに
cloudasset.assets.listResource
権限を付与すると、すべてのリソースタイプを一覧表示できます。ユーザーが一覧表示できるリソースタイプを制限するには、代わりに各リソースタイプの権限を付与します。たとえば、cloudasset.assets.listComputeDisks 権限を単独で付与して、ユーザーが compute.googleapis.com/Disk リソースタイプのみを一覧表示できるようにすることができます。
これらのきめ細かい権限は、RESOURCE と未指定の
コンテンツ タイプにのみ適用されます。
きめ細かい cloudasset.assets.list* 権限のリストを表示します。
|
queryAssets
|
コンテンツ タイプに応じて、次のいずれかの権限。
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
RELATIONSHIP と RESOURCE の両方のコンテンツ タイプ用の
cloudasset.assets.queryResource
。
|
| Search API |
searchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
searchAllResources
|
cloudasset.assets.searchAllResources
リソース オーナーの拡充を検索する場合は、
cloudasset.assets.searchEnrichmentResourceOwners
も必要です。
|
gcloud
| ポジショニングのステートメント |
必要な権限 |
| すべての API |
| すべての Cloud Asset Inventory 呼び出し |
Cloud Asset Inventory のすべての呼び出しには serviceusage.services.use 権限が必要です。
|
| 分析 API |
analyze-iam-policy
analyze-iam-policy-longrunning
get-effective-iam-policy
|
次のすべての権限:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
: カスタムロールでポリシーを分析する
Google Workspace を操作するには、追加の権限が必要です。
|
analyze-move
|
cloudasset.assets.analyzeMove
|
analyze-org-policies
analyze-org-policy-governed-containers
|
次のすべての権限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyze-org-policy-governed-assets
|
次のすべての権限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| フィード API |
feeds create
|
cloudasset.feeds.create
また、コンテンツ タイプに応じて、次のいずれかの権限も必要です。
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds delete
|
cloudasset.feeds.delete
|
feeds describe
|
cloudasset.feeds.get
|
feeds list
|
cloudasset.feeds.list
|
feeds update
|
cloudasset.feeds.update
また、コンテンツ タイプに応じて、次のいずれかの権限も必要です。
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
export
get-history
|
コンテンツ タイプに応じて、次のいずれかの権限。
-
cloudasset.assets.exportAccessPolicy
ACCESS_POLICY コンテンツ タイプを使用する場合。
-
cloudasset.assets.exportIamPolicy
IAM_POLICY コンテンツ タイプを使用する場合。
-
cloudasset.assets.exportOrgPolicy
ORG_POLICY コンテンツ タイプを使用する場合。
-
cloudasset.assets.exportOSInventories
OS_INVENTORY コンテンツ タイプを使用する場合。
-
cloudasset.assets.exportResource
RELATIONSHIP または RESOURCE コンテンツ タイプを使用する場合。
リソース アクセスの制限
ユーザーに
cloudasset.assets.exportResource
権限を付与すると、すべてのリソースタイプをエクスポートできます。ユーザーがエクスポートできるリソースタイプを制限するには、代わりにリソースタイプごとに権限を付与します。たとえば、cloudasset.assets.exportComputeDisks 権限のみを付与して、ユーザーが compute.googleapis.com/Disk リソースタイプのみをエクスポートできるようにすることができます。
これらのきめ細かい権限は、RESOURCE と未指定の
コンテンツ タイプにのみ適用されます。
きめ細かい cloudasset.assets.export* 権限のリストを表示します。
|
list
|
コンテンツ タイプに応じて、次のいずれかの権限。
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
RELATIONSHIP コンテンツ タイプと RESOURCE コンテンツ タイプを使用する場合。
リソース アクセスの制限
ユーザーに
cloudasset.assets.listResource
権限を付与すると、すべてのリソースタイプを一覧表示できます。ユーザーが一覧表示できるリソースタイプを制限するには、代わりに各リソースタイプの権限を付与します。たとえば、cloudasset.assets.listComputeDisks 権限を単独で付与して、ユーザーが compute.googleapis.com/Disk リソースタイプのみを一覧表示できるようにすることができます。
これらのきめ細かい権限は、RESOURCE と未指定の
コンテンツ タイプにのみ適用されます。
きめ細かい cloudasset.assets.list* 権限のリストを表示します。
|
query
|
コンテンツ タイプに応じて、次のいずれかの権限。
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
RELATIONSHIP と RESOURCE の両方のコンテンツ タイプ用の
cloudasset.assets.queryResource
。
|
| Search API |
search-all-iam-policies
|
cloudasset.assets.searchAllIamPolicies
|
search-all-resources
|
cloudasset.assets.searchAllResources
リソース オーナーの拡充を検索する場合は、
cloudasset.assets.searchEnrichmentResourceOwners
も必要です。
|
コンソール
Google Cloud コンソールは SearchAllResources API を使用してデータをリクエストします。 Google Cloud コンソールで Cloud Asset Inventory を使用するには、次の権限を付与します。
cloudasset.assets.searchAllResources
serviceusage.services.use
VPC Service Controls
VPC Service Controls を Cloud Asset Inventory とともに使用することで、アセットのセキュリティを強化できます。VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。
VPC Service Controls で Cloud Asset Inventory を使用する際の制限事項については、サポートされているプロダクトと制限事項をご覧ください。
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2025-10-21 UTC。
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["わかりにくい","hardToUnderstand","thumb-down"],["情報またはサンプルコードが不正確","incorrectInformationOrSampleCode","thumb-down"],["必要な情報 / サンプルがない","missingTheInformationSamplesINeed","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2025-10-21 UTC。"],[],[]]
