概要
Cyber Insurance Hub は、Identity and Access Management(IAM)を使用してモデルリソースへのアクセスを管理します。モデルリソースへのアクセスを許可するには、1 つ以上の IAM ロールをユーザー、グループ、またはサービス アカウントに割り当てます。サイバー保険ハブの権限は IAM のロールに組み込まれています。
IAM ロールの詳細については、IAM のロールと権限のインデックスをご覧ください。
サイバー保険ハブのロール
サイバー保険ハブには、特定のサイバー保険ハブ リソースに複数の権限を付与する事前定義ロールが用意されています。
次の表に、Cyber Insurance Hub の事前定義ロール、その説明、含まれる権限を示します。これらのロールは組織レベルで付与します。
| ロール | タイトル | 説明 | 権限 |
|---|---|---|---|
riskmanager.admin |
Risk Manager 管理者 | サイバー保険ハブのすべての権限 |
riskmanager.serviceaccount.createriskmanager.reports.getriskmanager.reports.listriskmanager.reports.createriskmanager.reports.deleteriskmanager.reports.reviewriskmanager.reports.shareriskmanager.operations.getriskmanager.operations.listriskmanager.operations.deleteriskmanager.policies.getriskmanager.policies.listriskmanager.settings.getriskmanager.settings.updateriskmanager.controlScoreBreakdowns.getriskmanager.controlScoreBreakdowns.list |
riskmanager.editor |
Risk Manager 編集者 | サイバー保険ハブのリソースを編集する権限(レポートの共有または確認を除くすべての権限) |
riskmanager.serviceaccount.createriskmanager.reports.getriskmanager.reports.listriskmanager.reports.createriskmanager.reports.deleteriskmanager.operations.getriskmanager.operations.listriskmanager.operations.deleteriskmanager.policies.getriskmanager.policies.listriskmanager.settings.getriskmanager.settings.updateriskmanager.controlScoreBreakdowns.getriskmanager.controlScoreBreakdowns.list |
riskmanager.viewer |
Risk Manager 閲覧者 | サイバー保険ハブのリソースを表示するためのアクセス権 |
riskmanager.reports.getriskmanager.reports.listriskmanager.operations.getriskmanager.operations.listriskmanager.policies.getriskmanager.policies.listriskmanager.settings.getriskmanager.controlScoreBreakdowns.getriskmanager.controlScoreBreakdowns.list |
riskmanager.reviewer |
Risk Manager レポート審査担当者 | サイバー保険ハブのレポートを確認/承認するためのアクセス権 |
riskmanager.reports.getriskmanager.reports.listriskmanager.reports.reviewriskmanager.operations.getriskmanager.operations.list |
Risk Manager サービス エージェントのロール
サイバー保険ハブに登録すると、organizations-ORGANIZATION_ID@gcp-sa-riskmanager.iam.gserviceaccount.com の形式でサービス エージェントが作成されます。このサービス エージェントには、組織レベルで riskmanager.serviceAgent ロールが必要です。このロールにより、Cyber Insurance Hub サービス エージェントは、Cyber Insurance Hub レポートの生成に必要なデータを他の Google Cloud サービスから取得できます。
この Risk Manager サービス エージェント(roles/riskmanager.serviceAgent)ロールは、次の権限を含むロールです。
| ロール | タイトル | 説明 | 権限 |
|---|---|---|---|
roles/riskmanager.serviceAgent |
Risk Manager サービス エージェント | Cyber Insurance Hub レポートの生成に必要な他の Google Cloud サービスからデータを取得するためのアクセス権。 |
また、次のロールのすべての権限も含まれます。
|
Risk Manager サービス エージェントのロールを付与するために必要な権限を取得するには、組織に対する組織管理者 (roles/resourcemanager.organizationAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
この事前定義ロールには、Risk Manager サービス エージェントのロールを付与するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
Risk Manager サービス エージェントのロールを付与するには、次の権限が必要です。
-
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
Risk Manager サービス エージェントのロールは、最初に Cyber Insurance Hub を構成するときにサービス エージェントに付与できます。次の CLI コマンドを実行して、Risk Manager サービス エージェントのロールをサービス エージェントに付与することもできます。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="serviceAccount:organizations-ORGANIZATION_ID@gcp-sa-riskmanager.iam.gserviceaccount.com" \
--role="roles/riskmanager.serviceAgent"
ORGANIZATION_ID は、組織の数値 ID に置き換えます。
サイバー保険ハブのカスタムロール
Cyber Insurance Hub では、事前定義ロールに加えて、カスタマイズされた IAM ロールを作成することもできます。カスタム IAM ロールを作成し、そのロールに 1 つ以上の権限を割り当てることができます。その後、共同編集者に新しい役割を付与できます。Google が提供する使用可能な事前定義ロールとともに、カスタムロールを使用してニーズに直接マッピングされるアクセス制御モデルを作成します。
このドキュメントでは、カスタムの役割の作成方法については説明しません。カスタムロールの詳細とカスタムロールの作成手順については、IAM ドキュメントのカスタムロールの作成と管理をご覧ください。