推奨されるユーザー グループと Identity and Access Management のロール

次の表に、 でワークロードを実行する際の出発点として推奨される Identity and Access Management(IAM)ロールを示します。 Google Cloud環境内で職務分掌を実装し、リスク許容度と組織構造に合わせて IAM ロールを構成します。

これらのロールを組織のユーザー グループに割り当てる際は、特定のユースケースとデータアクセス要件に対応するために、よりきめ細かいロールを適用する必要がある場所を検討してください。機密性の高いデータを使用する環境(たとえば、センシティブ データを使用してモデルをトレーニングする場合)については、安全な BigQuery データ ウェアハウスにデータをインポートするで、保存されたデータへのアクセスを許可するために使用できるロールの詳細をご覧ください。

次の表に、ロールの推奨事項を示します。必要に応じて、基礎的な推奨事項とユースケース固有の推奨事項を適用してください。

サービス グループ 説明 IAM ロール

基礎

grp-gcp-org-admin

このグループは、組織に属するリソースを管理します。このロールは慎重に割り当ててください。組織管理者は、すべての Google Cloud リソースにアクセスできます。この機能は高度な権限を使用するため、グループを作成するのではなく、別のアカウントを使用することをおすすめします。
  • 組織管理者(roles/resourcemanager.organizationAdmin
  • フォルダ管理者(roles/resourcemanager.folderAdmin
  • プロジェクト作成者(roles/resourcemanager.projectCreator
  • 請求先アカウント ユーザー(roles/billing.user
  • 組織のロールの管理者(roles/iam.organizationRoleAdmin
  • 組織ポリシー管理者(roles/orgpolicy.policyAdmin
  • セキュリティ センター管理者(roles/securitycenter.admin
  • サポート アカウント管理者(roles/cloudsupport.admin

基礎

grp-gcp-network-admins

このグループは、ネットワーク、サブネット、ファイアウォール ルール、ネットワーク デバイス(Cloud Router、Cloud VPN、クラウド ロードバランサなど)を作成できます。
  • Compute ネットワーク管理者(roles/compute.networkAdmin
  • Compute Shared VPC 管理者(roles/compute.xpnAdmin
  • Compute セキュリティ管理者(roles/compute.securityAdmin
  • フォルダ閲覧者(roles/resourcemanager.folderViewer

基礎

grp-gcp-billing-admin

このグループは、請求先アカウントを設定し、その使用状況をモニタリングします。
  • 請求先アカウント管理者(roles/billing.admin
  • 請求先アカウント作成者(roles/billing.creator
  • 組織閲覧者(roles/resourcemanager.organizationViewer

基礎

grp-gcp-security-admins

このグループは、アクセス管理や組織の制約ポリシーなど、組織全体のセキュリティ ポリシーを確立して管理します。 Google Cloud セキュリティ インフラストラクチャを計画するには、エンタープライズ基盤ブループリントをご覧ください。
  • BigQuery データ閲覧者(roles/bigquery.dataViewer
  • Compute 閲覧者(roles/compute.viewer
  • フォルダ IAM 管理者(roles/resourcemanager.folderIamAdmin
  • Kubernetes Engine 閲覧者(roles/container.viewer
  • ログ構成書き込み(roles/logging.configWriter
  • 組織のロールの閲覧者(roles/iam.organizationRoleViewer
  • 組織ポリシー管理者(roles/orgpolicy.policyAdmin
  • 組織ポリシー閲覧者(roles/orgpolicy.policyViewer
  • プライベート ログ閲覧者(roles/logging.privateLogViewer
  • セキュリティ センター管理者(roles/securitycenter.admin
  • セキュリティ審査担当者(roles/iam.securityReviewer

基礎

grp-gcp-billing-viewer

このグループは、プロジェクトの費用をモニタリングします。通常、グループ メンバーは財務チームのメンバーです。
  • 請求先アカウント閲覧者(roles/billing.viewer

基礎

grp-gcp-platform-viewer

このグループは、 Google Cloud組織全体のリソース情報を確認します。
  • 閲覧者(roles/viewer

基礎

grp-gcp-security-reviewer

このグループはクラウド セキュリティを審査します。
  • セキュリティ審査担当者(roles/iam.securityReviewer

基礎

grp-gcp-network-viewer

このグループはネットワーク構成を審査します。
  • Compute ネットワーク閲覧者(roles/compute.networkViewer

基礎

grp-gcp-audit-viewer

このグループは監査ログを表示します。
  • プライベート ログ閲覧者(roles/logging.privateLogViewer
  • 閲覧者(roles/viewer

基礎

grp-gcp-scc-admin

このグループは Security Command Center を管理します。
  • セキュリティ センター管理者(roles/securitycenter.admin

基礎

grp-gcp-secrets-admin

このグループは Secret Manager のシークレットを管理します。
  • Secret Manager 管理者(roles/secretmanager.admin

Agent Platform 管理者

grp-gcp-vertex-ai-admin

このグループには、 Agent Platform 内のすべてのリソースに対する完全アクセス権があります。
  • Vertex AI 管理者(roles/aiplatform.admin

Agent Platform 閲覧者

grp-gcp-vertex-ai-viewer

このグループは、Agent Platform 内のすべてのリソースを表示します。
  • Vertex AI 閲覧者(roles/aiplatform.viewer

Agent Platform ユーザー

grp-gcp-vertex-ai-user

このグループは、 Agent Platform のすべてのリソースを使用します。
  • Vertex AI ユーザー(roles/aiplatform.user

Agent Platform Workbench 管理者

grp-gcp-vertex-ai-notebook-admin

このグループは、 Agent Platform Workbench 内のすべてのランタイム テンプレートとランタイムに対する完全アクセス権を持っています。
  • ノートブック ランタイム管理者(roles/aiplatform.notebookRuntimeAdmin

Agent Platform Workbench ユーザー

grp-gcp-vertex-ai-notebook-user

このグループは、ランタイム テンプレートを使用してランタイム リソースを作成し、 作成したランタイム リソースを管理します。
  • ノートブック ランタイム ユーザー(roles/aiplatform.notebookRuntimeUser

次のステップ