ロールと権限

Google Cloud には Identity and Access Management（IAM）機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへのアクセスを防ぐことができます。このページでは、Service Extensions のロールと権限について説明します。

IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。

ロールは IAM 権限のコレクションです。ユーザー、グループ、サービス アカウントなどのプリンシパルで権限を使用できるようにするには、プリンシパルにロールを付与します。IAM ポリシーを設定することで、誰に、どのリソースに対するどのアクセス権を付与するかを制御できます。IAM ポリシーは、特定のロールをプリンシパルに付与することで、そのプリンシパルに特定の権限を付与します。

IAM ロールの詳細については、ロールと権限をご覧ください。

Service Extensions の事前定義ロールと権限

Service Extensions は、プロジェクト レベルの IAM 権限をサポートしています。

次の表に、Service Extensions IAM のロールと、各ロールに含まれる権限を示します。

ロール	権限
Service Extensions 管理者 （roles/networkservices.serviceExtensionsAdmin） 拡張機能の作成、更新、一覧表示、表示、削除の権限。	networkservices.authzExtensions.create networkservices.authzExtensions.delete networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.authzExtensions.update networkservices.authzExtensions.use networkservices.lbEdgeExtensions.create networkservices.lbEdgeExtensions.delete networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbEdgeExtensions.update networkservices.lbRouteExtensions.create networkservices.lbRouteExtensions.delete networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbRouteExtensions.update networkservices.lbTrafficExtensions.create networkservices.lbTrafficExtensions.delete networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.lbTrafficExtensions.update networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmActions.create networkservices.wasmActions.delete networkservices.wasmPlugins.get networkservices.wasmPlugins.list networkservices.wasmPlugins.create networkservices.wasmPlugins.update networkservices.wasmPlugins.delete networkservices.wasmPlugins.use
Service Extensions 閲覧者 （roles/networkservices.serviceExtensionsViewer） 拡張機能を一覧表示して表示する権限。	networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmPlugins.get networkservices.wasmPlugins.list

次の表に、他のサービスに必要な IAM ロールと、各ロールに含まれる権限を示します。

ロール	権限
Compute ロードバランサ管理者 （roles/compute.loadBalancerAdmin） 転送ルールを更新する権限。転送ルールに接続する拡張機能の作成と更新時に必要です。	compute.forwardingRules.update compute.globalForwardingRules.update
Compute ロードバランサ サービスのユーザー （roles/compute.loadBalancerServiceUser） バックエンド サービスを使用する権限。バックエンド サービスを拡張機能サービスとして使用する拡張機能の作成と更新時に必要です。	compute.backendServices.use compute.regionBackendBuckets.use

アクセス制御を管理する

プロジェクト レベルでアクセス制御を設定するには、次の手順に沿って操作します。

1. Google Cloud コンソールで、[IAM] ページに移動します。

   [IAM] に移動

2. プロジェクトを選択します。

3. [追加] をクリックします。

4. [新しいプリンシパル] に、新しいプリンシパルのメールアドレスを入力します。

5. 必要なロールを選択します。

6. [保存] をクリックします。

7. 付与したロールにそのプリンシパルがリストされているかを確認します。

ロールの権限を特定する

ロールに 1 つ以上の権限が含まれているかどうかを確認するには、次のいずれかの方法を使用します。

• IAM 権限の検索リファレンス
• gcloud iam roles describe コマンド
• IAM API の roles.get() メソッド

次のステップ

• Service Extensions の概要をご覧ください。
• プラグインを作成するためにプラグイン コードを準備する方法を学習する。
• プラグインを作成する方法を学習する。
• 詳しくは、プラグインを管理するをご覧ください。