IAM によるアクセス制御

このページでは、Infrastructure Manager のロールと権限について説明します。

Infra Manager は、Identity and Access Management(IAM)を使用して、 サービスへのアクセスを制御します。Infra Manager を使用してリソースをデプロイする権限を付与するには、Infra Manager IAM ロール を Infra Manager を呼び出すために使用する サービス アカウント に割り当てます。サービス アカウントに権限を付与する方法の詳細については、 サービス アカウントに対するアクセス権の管理をご覧ください。

Infra Manager のデプロイ、リビジョン、IAM ポリシーを表示するためにサービス アカウントは必要ありません。Infra Manager を表示するには、ユーザー、グループ、またはサービス アカウントにアクセス権を付与します。

Terraform 構成で定義された Google Cloud リソースをデプロイまたは表示するには、これらのリソースに 固有のサービス アカウント権限を付与する必要があります。これらの権限は、このページに記載されている Infra Manager 権限に追加されます。すべてのロールとそれらに含まれる権限のリストについては、 Identity and Access Management の基本ロールと事前定義ロールのリファレンスをご覧ください。

Infra Manager の事前定義ロール

IAM には、 特定のリソースへのアクセス権を付与し、それ以外のリソースへの無認可のアクセスを防止する事前定義ロールが用意されています。 Google Cloud

次の表に、Infra Manager IAM のロールとそこに含まれる権限を示します。

ロール 説明 権限
Infra Manager 管理者(roles/config.admin ユーザーの場合、Infra Manager リソースに対する完全な制御 config.deployments.create
config.deployments.delete
config.deployments.deleteState
config.deployments.get
config.deployments.getIamPolicy
config.deployments.getLock
config.deployments.getState
config.deployments.list
config.deployments.lock
config.deployments.setIamPolicy
config.deploymentgroups.create
config.deploymentgroups.update
config.deploymentgroups.delete
config.deploymentgroups.get
config.deploymentgroups.list
config.deploymentgroups.provision
config.deploymentgroups.deprovision
config.deploymentgrouprevisions.get
config.deploymentgrouprevisions.list
config.deployments.unlock
config.deployments.update
config.deployments.updateState
config.automigrationconfig.get
config.automigrationconfig.update
config.previews.create
config.previews.delete
config.previews.get
config.previews.list
config.previews.export
config.previews.upload
config.locations.get
config.locations.list
config.operations.cancel
config.operations.delete
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.resourcechanges.get
config.resourcechanges.list
config.resourcedrifts.get
config.resourcedrifts.list
config.revisions.get
config.revisions.getState
config.revisions.list
config.artifacts.import
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list
Infra Manager サービス エージェント(roles/config.agent デプロイ、リビジョン、ロギング、Terraform 状態ファイルなど、Infra Manager を操作するためのサービス アカウントへのアクセス権を付与します。 storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
logging.logEntries.create
config.deployments.getState
config.deployments.updateState
config.deployments.deleteState
config.deployments.getLock
config.previews.upload
config.artifacts.import
config.revisions.getState
cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
cloudquotas.quotas.get
monitoring.timeSeries.list
Infra Manager サービス アカウント(roles/cloudconfig.serviceAgent Infra Manager API を有効にすると、プロジェクトに Infra Manager サービス アカウントが自動的に作成され、このロールがプロジェクト内のリソースに付与されます。Infra Manager サービス アカウントは、デプロイとリビジョンの作成、管理、削除時にアクションを実行するために必要な場合にのみ、このロールを使用します。 cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update
cloudbuild.workerpools.use
iam.serviceAccounts.actAs
iam.serviceAccounts.getAccessToken
logging.logEntries.create
logging.logEntries.route
serviceusage.services.use
storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
Infra Manager 閲覧者(roles/config.viewer デプロイ、リビジョン、IAM ポリシーを読み取ります。 config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.deploymentgroups.get
config.deploymentgroups.list
config.deploymentgrouprevisions.get
config.deploymentgrouprevisions.list
config.previews.get
config.previews.list
config.locations.get
config.locations.list
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list

Infra Manager の事前定義ロールに加えて、 基本閲覧者とオーナーのロールにも Infra Manager に関連する権限が含まれています。 ただし、 最小権限の原則に準拠するように、事前定義ロールを付与することをおすすめします。

次の表に、基本ロールと、それに含まれる Infra Manager IAM ロールを示します。

ロール 含まれるロール
閲覧者 roles/config.viewer
オーナー roles/config.admin

権限

呼び出し元が各メソッドを呼び出す際に必要となる権限は、 REST API リファレンスに記載されています。

次のステップ