概要
Cyber Insurance Hub は、Identity and Access Management(IAM) を使用してモデルリソースへのアクセスを管理します。モデルリソースへのアクセスを許可するには、 1 つ以上の IAM ロールをユーザー、グループ、またはサービス アカウントに割り当てます。 Cyber Insurance Hub の権限は IAM ロールに組み込まれています。
IAM ロールの詳細については、 IAM のロールと権限のインデックスをご覧ください。
Cyber Insurance Hub のロール
Cyber Insurance Hub には、特定の Cyber Insurance Hub リソースに複数の権限を付与する事前定義ロールが用意されています 。
次の表に、Cyber Insurance Hub の事前定義ロール、その 説明、含まれる権限を示します。以下のロールは 組織レベルで付与します。
| ロール | タイトル | 説明 | 権限 |
|---|---|---|---|
riskmanager.admin |
Risk Manager 管理者 | Cyber Insurance Hub のすべての権限 |
riskmanager.serviceaccount.createriskmanager.reports.getriskmanager.reports.listriskmanager.reports.createriskmanager.reports.deleteriskmanager.reports.reviewriskmanager.reports.shareriskmanager.operations.getriskmanager.operations.listriskmanager.operations.deleteriskmanager.policies.getriskmanager.policies.listriskmanager.settings.getriskmanager.settings.updateriskmanager.controlScoreBreakdowns.getriskmanager.controlScoreBreakdowns.list |
riskmanager.editor |
Risk Manager 編集者 | Cyber Insurance Hub リソースの編集権限(レポートの共有またはレビューを除くすべての権限を含む) |
riskmanager.serviceaccount.createriskmanager.reports.getriskmanager.reports.listriskmanager.reports.createriskmanager.reports.deleteriskmanager.operations.getriskmanager.operations.listriskmanager.operations.deleteriskmanager.policies.getriskmanager.policies.listriskmanager.settings.getriskmanager.settings.updateriskmanager.controlScoreBreakdowns.getriskmanager.controlScoreBreakdowns.list |
riskmanager.viewer |
Risk Manager 閲覧者 | Cyber Insurance Hub リソースを表示するためのアクセス権 |
riskmanager.reports.getriskmanager.reports.listriskmanager.operations.getriskmanager.operations.listriskmanager.policies.getriskmanager.policies.listriskmanager.settings.getriskmanager.controlScoreBreakdowns.getriskmanager.controlScoreBreakdowns.list |
riskmanager.reviewer |
Risk Manager レポート審査担当者 | Cyber Insurance Hub レポートをレビュー/承認するためのアクセス権 |
riskmanager.reports.getriskmanager.reports.listriskmanager.reports.reviewriskmanager.operations.getriskmanager.operations.list |
Risk Manager サービス エージェントのロール
Cyber Insurance Hub に登録すると、サービス エージェントが
organizations-ORGANIZATION_ID@gcp-sa-riskmanager.iam.gserviceaccount.comの形式で作成されます。
このサービス エージェントには、組織レベルで riskmanager.serviceAgent
ロールが必要です。このロールにより、Cyber Insurance Hub
サービス エージェントは、Cyber Insurance Hub レポートの生成に必要なデータを他の Google Cloud サービスから取得できます。
この Risk Manager サービス エージェント
(roles/riskmanager.serviceAgent)ロールは、次の権限を含むロールです。
| ロール | タイトル | 説明 | 権限 |
|---|---|---|---|
roles/riskmanager.serviceAgent |
Risk Manager サービス エージェント | Cyber Insurance Hub レポートの生成に必要なデータを他のサービスから取得するためのアクセス権。 Google Cloud |
また、次のロールのすべての権限が含まれています。
|
Risk Manager サービス エージェントのロールを付与するために必要な権限を取得するには、組織に対する組織管理者 (roles/resourcemanager.organizationAdmin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
この事前定義ロールには Risk Manager サービス エージェントのロールを付与するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
Risk Manager サービス エージェントのロールを付与するには、次の権限が必要です。
-
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
Cyber Insurance Hub を最初に 構成するときに、Risk Manager サービス エージェントのロールをサービス エージェントに付与できます。次の CLI コマンドを実行して、Risk Manager サービス エージェントのロールをサービス エージェントに付与することもできます。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="serviceAccount:organizations-ORGANIZATION_ID@gcp-sa-riskmanager.iam.gserviceaccount.com" \
--role="roles/riskmanager.serviceAgent"
ORGANIZATION_ID は組織の数値 ID に置き換えます。
Cyber Insurance Hub のカスタムロール
Cyber Insurance Hub では、事前定義ロールに加えて、IAM ロールをカスタマイズして作成することもできます。カスタムの IAM ロールを作成し、そのロールに 1 つ以上の 権限を割り当てることができます。その後、共同編集者に新しいロールを付与できます。Google が提供する定義済みのロールとともに、 カスタムのロールを使用してニーズに直接関連するアクセス制御モデルを作成します。
このドキュメントでは、カスタムのロールの作成方法については説明しません。カスタムロールの詳細と、カスタムロールを作成する手順については、IAM ドキュメントのカスタムロールの作成と管理をご覧ください。