概要
サイバー保険ハブは、Identity and Access Management(IAM) を使用してモデルリソースへのアクセスを管理します。モデルリソースへのアクセスを許可するには、1 つ以上の IAM ロールをユーザー、グループ、またはサービス アカウントに割り当てます。サイバー保険ハブの権限は IAM ロールに組み込まれています。
IAM ロールの詳細については、 IAM のロールと権限のインデックスをご覧ください。
サイバー保険ハブのロール
サイバー保険ハブには、特定のサイバー保険ハブのリソースに複数の権限を付与する事前定義ロールが用意されています。
次の表に、サイバー保険ハブの事前定義ロール、その説明、含まれる権限を示します。以下のロールは組織レベルで付与します。
| ロール | タイトル | 説明 | 権限 |
|---|---|---|---|
riskmanager.admin |
Risk Manager 管理者 | サイバー保険ハブのすべての権限 |
riskmanager.serviceaccount.createriskmanager.reports.getriskmanager.reports.listriskmanager.reports.createriskmanager.reports.deleteriskmanager.reports.reviewriskmanager.reports.shareriskmanager.operations.getriskmanager.operations.listriskmanager.operations.deleteriskmanager.policies.getriskmanager.policies.listriskmanager.settings.getriskmanager.settings.updateriskmanager.controlScoreBreakdowns.getriskmanager.controlScoreBreakdowns.list |
riskmanager.editor |
Risk Manager 編集者 | サイバー保険ハブのリソースを編集するアクセス権(レポートの共有または審査を行う権限を除くすべての権限を含む) |
riskmanager.serviceaccount.createriskmanager.reports.getriskmanager.reports.listriskmanager.reports.createriskmanager.reports.deleteriskmanager.operations.getriskmanager.operations.listriskmanager.operations.deleteriskmanager.policies.getriskmanager.policies.listriskmanager.settings.getriskmanager.settings.updateriskmanager.controlScoreBreakdowns.getriskmanager.controlScoreBreakdowns.list |
riskmanager.viewer |
Risk Manager 閲覧者 | サイバー保険ハブのリソースを表示するアクセス権 |
riskmanager.reports.getriskmanager.reports.listriskmanager.operations.getriskmanager.operations.listriskmanager.policies.getriskmanager.policies.listriskmanager.settings.getriskmanager.controlScoreBreakdowns.getriskmanager.controlScoreBreakdowns.list |
riskmanager.reviewer |
Risk Manager レポート審査担当者 | サイバー保険ハブのレポートを審査/承認するアクセス権 |
riskmanager.reports.getriskmanager.reports.listriskmanager.reports.reviewriskmanager.operations.getriskmanager.operations.list |
Risk Manager サービス エージェントのロール
サイバー保険ハブに登録すると、サービス エージェントが
次の形式で作成されます:
organizations-ORGANIZATION_ID@gcp-sa-riskmanager.iam.gserviceaccount.com.
このサービス エージェントには、組織レベルで riskmanager.serviceAgent
ロールが必要です。このロールにより、サイバー保険ハブの
サービス エージェントは、サイバー保険ハブのレポートを生成するために必要なデータを他の Google Cloud サービスから取得できます。
この Risk Manager サービス エージェント
(roles/riskmanager.serviceAgent)ロールは、次の権限を含むロールです。
| ロール | タイトル | 説明 | 権限 |
|---|---|---|---|
roles/riskmanager.serviceAgent |
Risk Manager サービス エージェント | サイバー保険ハブのレポートを生成するために必要なデータを他の Google Cloud サービスから取得するアクセス権 。 |
また、次のロールのすべての権限が含まれています。
|
Risk Manager サービス エージェントのロールを付与するために必要な権限を取得するには、組織に対する組織管理者 (roles/resourcemanager.organizationAdmin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
この事前定義ロールには Risk Manager サービス エージェントのロールを付与するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
Risk Manager サービス エージェントのロールを付与するには、次の権限が必要です。
-
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
サイバー保険ハブを最初に構成するときに、Risk Manager サービス エージェントのロールをサービスエージェントに付与できます。次の CLI コマンドを実行して、Risk Manager サービス エージェントのロールをサービス エージェントに付与することもできます。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="serviceAccount:organizations-ORGANIZATION_ID@gcp-sa-riskmanager.iam.gserviceaccount.com" \
--role="roles/riskmanager.serviceAgent"
ORGANIZATION_ID は組織の数値 ID に置き換えます。
サイバー保険ハブのカスタムロール
サイバー保険ハブでは、事前定義ロールに加えて、IAM ロールをカスタマイズして作成することもできます。カスタムの IAM ロールを作成し、そのロールに 1 つ以上の権限を割り当てることができます。その後、共同編集者に新しいロールを付与できます。Google が提供する定義済みのロールとともに、カスタムのロールを使用してニーズに直接関連するアクセス制御モデルを作成します。
このドキュメントでは、カスタムロールの作成方法については説明しません。カスタムロールの詳細と、カスタムロールを作成する手順については、IAM ドキュメントのカスタムロールの作成と管理をご覧ください。