IAM を使用した Cloud Deploy アクセスの制限

すべての Google Cloud プロダクトと同様に、Identity and Access Management は、認証されたユーザーとサービスアカウントがどのアクションを実行できるかを制御することで、Cloud Deploy を保護します。

このドキュメントでは、IAM のいくつかの機能について説明し、Cloud Deploy を使用して管理されるアプリケーションの配信を保護する手順を説明します。Cloud Deploy のアクションとリソースへのアクセスを制限する具体的な方法は次のとおりです。

• 特定のデリバリー パイプラインへのアクセスを許可する

• 特定のターゲットを構成するためのアクセス権を付与する

• 特定のターゲットにリリースをプロモートする権限を付与する

• 特定のターゲットにロールアウトを承認する権限を付与する

• 特定の期間にリリースを昇格させる権限を付与する

• 特定の期間にロールアウトを承認する権限を付与する

始める前に

• IAM の基本コンセプトについて理解しておきます。

• Cloud Deploy のロールと権限について学習しておきます。

IAM の高度な機能について

Cloud Deploy では、ロールと権限に加えて、 IAM の次の機能 を使用してこれらの制御を行います。

IAM ポリシーについて

IAM ポリシーは、バインディングとメタデータから構成されます。ロール バインディングは、1 つ以上のプリンシパル（ユーザー、グループ、またはサービス アカウント）に単一のロールを付与します。また、バインディングを有効にするかどうかを制御するコンテキスト固有の条件を付与します。

IAM ポリシーの詳細については、ポリシーについてをご覧ください。

IAM の条件について

IAM の条件を使用すると、実行時に計算された条件に基づいて、Cloud Deploy リソースとアクションへのアクセスを制御できます。たとえば、指定された期間にだけ許可されるように、特定のターゲットへのプロモーションを制限できます。

API 属性について

IAM 条件を作成するときに、 API 属性を参照してリクエストに関する実行時 情報を取得できます。たとえば、API 属性を使用して、リクエストの対象となるリソースの名前を取得できます。次に、プリンシパルがアクセスできるリソースと比較します。

IAM の高度な機能を使用してきめ細かいアクセス権を付与する

これらの高度な IAM 機能を使用すると、特定の条件下で、特定のリソースやリソースタイプへのアクセスを制御できます。

このセクションの手順では、特定のリソース（ターゲット、デリバリーパイプライン）へのアクセス権を付与します。プロジェクト レベルでアクセス権を付与することもできます。これは、そのプロジェクト内のすべてのデリバリー パイプラインまたはすべてのターゲットに影響します。プロジェクトの IAM ポリシーを設定するには、gcloud projects set-iam-policy コマンドを使用します。

gcloud projects set-iam-policy PROJECT_ID POLICY_FILE

特定のデリバリー パイプラインへのアクセスを許可する

適切なロールを付与するだけで、プリンシパルにすべてのデリバリー パイプラインの作成、変更、削除を行う権限を付与できます。しかし、1 つ以上の特定のパイプラインに対して、プリンシパルにこのアクセス権を付与することもできます。

これを行うには、ロール バインディングを使用して、roles/clouddeploy.developer ロールをそのプリンシパルにバインドします。次に、ポリシーを適用する際に（setIamPolicy を使用して）アクセス権を付与するデリバリー パイプラインを指定します。

特定のデリバリー パイプラインへのアクセス権を付与するには:

1. 次の情報を含む ポリシー ファイルを作成します。

   bindings:
   - role: roles/clouddeploy.developer
     members:
     - user:fatima@example.com
   

   上記の例では、ユーザーにロールを付与していますが、グループまたはサービス アカウントにロールを付与することもできます。

2. 次のコマンドを呼び出して、ポリシー ファイルを特定のデリバリー パイプラインに適用します。

   gcloud deploy delivery-pipelines set-iam-policy --delivery-pipeline=PIPELINE_NAME --region=REGION POLICY_FILE
   

特定のターゲットを構成するためのアクセス権を付与する

プリンシパルに特定のターゲットへのアクセス権を付与するには、 ロール バインディングを使用します。これを行うには、roles/clouddeploy.operator ロールをそのプリンシパルにバインドします。次に、ポリシーを適用する際に（setIamPolicy を使用して）アクセス権を付与するターゲットを指定します。

特定のターゲットへのアクセス権を付与すると、プリンシパルはそのターゲットを更新および削除できます。

1. 次の情報を含む ポリシー ファイルを作成します。

   bindings:
   - role: roles/clouddeploy.operator
     members:
     - group:cd_operators@example.com
   

   上記の例では、ユーザーにロールを付与していますが、グループまたはサービス アカウントにロールを付与することもできます。

2. 次のコマンドを呼び出して、ポリシー ファイルを特定のターゲットに適用します。

   gcloud deploy targets set-iam-policy TARGET --region=REGION POLICY_FILE
   

特定のターゲットにリリースをプロモートする権限を付与する

この手順では、ロールをプリンシパルにバインドするポリシーがすでに存在していることを前提としています。ここでは、ターゲットを指定する条件を追加します。

1. 次のバインドを含むポリシー ファイルを作成します。

   bindings:
   - role: roles/clouddeploy.operator
     members:
     - serviceAccount:prod_operator@project-12345.iam.gserviceaccount.com
     condition:
       expression: api.getAttribute("clouddeploy.googleapis.com/rolloutTarget", "") == "prod"
       title: Deploy to prod
   

   このロール バインディングでは、condition が Key-Value ペアを受け取ります。ここで、キーは expression、値は CEL 式です。 この式は、リクエストについての一連のコンテキスト属性を参照し、ブール値として評価します。式は、リクエストに関する一連のコンテキスト属性 を参照し、ブール値に評価されます。

   この場合、プリンシパルがリリースを昇格させようとすると、式が評価され、プロモーション ターゲットが式のターゲットと一致することを確認します。

   式は API 属性 clouddeploy.googleapis.com/rolloutTarget （プリンシパルが昇格させようとしているターゲット）を使用します。式は、プリンシパルに昇格アクセス権が付与されているターゲットと比較します。

2. 特定のデリバリー パイプラインのバインディングを設定します。

   gcloud deploy delivery-pipelines set-iam-policy PIPELINE_NAME --region=REGION POLICY_FILE
   

   すべてのデリバリー パイプラインにこのバインディングを設定する場合は、プロジェクト レベルで設定できます。

   gcloud projects set-iam-policy PROJECT POLICY_FILE
   

特定のターゲットにロールアウトを承認する権限を付与する

このセクションのバインディングでは、パイプラインのロールアウトを承認する権限をプリンシパルに付与し、prod ターゲットの権限を適用する条件が含まれます。

1. 次のバインドを含むポリシー ファイルを作成します。

   bindings:
   - role: roles/clouddeploy.approver
     members:
     - serviceAccount:prod_operator@project-12345.iam.gserviceaccount.com
     condition:
       expression: api.getAttribute("clouddeploy.googleapis.com/rolloutTarget", "") == "prod"
       title: Deploy to prod
   

   このロール バインディングでは、condition が Key-Value ペアを受け取ります。ここで、キーは expression、値は CEL 式です。 この式は、リクエストについての一連のコンテキスト属性を参照し、ブール値として評価します。式は、リクエストに関する一連のコンテキスト属性 を参照し、ブール値に評価されます。

   この場合、プリンシパルがロールアウトを承認しようとしたときに式が評価され、ロールアウト ターゲットが式のターゲットと一致することを確認します。

   式は API 属性 clouddeploy.googleapis.com/rolloutTarget（ロールアウトのターゲット）を使用し、プリンシパルに承認アクセス権が付与されているターゲットと比較します。clouddeploy.googleapis.com/rolloutTarget 属性は、Cloud Deploy がサポートする唯一の API 属性です。

2. 特定のデリバリー パイプラインのバインディングを設定します。

   gcloud deploy delivery-pipelines set-iam-policy PIPELINE_NAME --region=REGION POLICY_FILE
   

   すべてのデリバリー パイプラインにこのバインディングを設定する場合は、プロジェクト レベルで設定できます。

   gcloud projects set-iam-policy PROJECT POLICY_FILE
   

特定の期間にリリースを昇格させる権限を付与する

このセクションのバインディングでは、パイプラインのリリースを昇格させる権限をプリンシパルに付与し、バインディングが有効である時間枠を指定する条件が含まれます。

1. 次のバインドを含むポリシー ファイルを作成します。

   bindings:
   - role: roles/clouddeploy.operator
     members:
     - serviceAccount:prod_operator@project-12345.iam.gserviceaccount.com
     condition:
       expression: request.time.getDayOfWeek("America/Los_Angeles") > 0 && request.time.getDayOfWeek("America/Los_Angeles") < 6
       title: Promote during safe window
   

   このロール バインディングでは、condition は Key-Value ペアを受け取ります。ここで、キーは expression、値は CEL 式です。 式は、リクエストに関する一連のコンテキスト属性を参照し、ブール値に評価されます。この式は、リクエスト時間が月曜日から金曜日の間に発生することを確認します。

   この場合、プリンシパルがリリースを昇格させようとすると、式が評価され、プロモーション ターゲットが式のターゲットと一致することを確認します。

2. 特定のデリバリー パイプラインのバインディングを設定します。

   gcloud deploy delivery-pipelines set-iam-policy PIPELINE_NAME --region=REGION POLICY_FILE
   

   すべてのデリバリー パイプラインにこのバインディングを設定する場合は、プロジェクト レベルで設定できます。

   gcloud projects set-iam-policy PROJECT POLICY_FILE
   

特定の期間にロールアウトを承認する権限を付与する

このセクションのバインディングでは、ロールアウトを承認する権限をプリンシパルに付与し、バインディングが有効である時間枠を指定する条件が含まれます。

1. 次のバインドを含むポリシー ファイルを作成します。

   bindings:
   - role: roles/clouddeploy.approver
     members:
     - serviceAccount:prod_operator@project-12345.iam.gserviceaccount.com
     condition:
       expression: request.time.getDayOfWeek("America/Los_Angeles") > 0 && request.time.getDayOfWeek("America/Los_Angeles") < 6
       title: Approve during safe window
   

   このロール バインディングでは、condition が Key-Value ペアを受け取ります。ここで、キーは expression、値はリクエストについての一連のコンテキスト属性を参照し、ブール値として評価する CEL 式です。 この式は、リクエスト時間が月曜日から金曜日の間に発生することを確認します。

   この場合、プリンシパルがロールアウトを承認しようとしたときに式が評価され、ロールアウト ターゲットが式のターゲットと一致することを確認します。

2. 特定のデリバリー パイプラインのバインディングを設定します。

   gcloud deploy delivery-pipelines set-iam-policy PIPELINE_NAME --region=REGION POLICY_FILE
   

   すべてのデリバリー パイプラインにこのバインディングを設定する場合は、プロジェクト レベルで設定できます。

   gcloud projects set-iam-policy PROJECT POLICY_FILE
   

サービスの種類に基づいてジョブを再試行する権限を付与する

このセクションのバインディングでは、ジョブの種類に基づいて、Cloud Deploy ジョブを再試行する権限をプリンシパルに付与します。

1. 次のバインドを含むポリシー ファイルを作成します。

   bindings:
   - role: roles/clouddeploy.operator
     members:
     - serviceAccount:prod_operator@project-12345.iam.gserviceaccount.com
     condition:
       expression: api.getAttribute("clouddeploy.googleapis.com/jobType", "") == "deploy"
       title: Retry deploy job
   

   このロール バインディングでは、condition が Key-Value ペアを受け取ります。ここで、キーは expression、値は CEL 式です。 この式は、リクエストについての一連のコンテキスト属性を参照し、ブール値として評価します。式は、リクエストに関する一連のコンテキスト属性 を参照し、ブール値に評価されます。

   この場合、プリンシパルがジョブを再試行しようとすると、式が評価され、サービスの種類が式のサービスの種類と一致することを確認します。

   式は API 属性 clouddeploy.googleapis.com/jobType を使用します。これは deploy または verify のいずれかになります。

2. 特定のデリバリー パイプラインのバインディングを設定します。

   gcloud deploy delivery-pipelines set-iam-policy PIPELINE_NAME --region=REGION POLICY_FILE
   

   すべてのデリバリー パイプラインにこのバインディングを設定する場合は、プロジェクト レベルで設定できます。

   gcloud projects set-iam-policy PROJECT POLICY_FILE