このページでは、IAM 許可ポリシーでリソースにロールを付与できるリソースの組み込み ID について説明します。
組み込み ID
一部のリソースには組み込み ID があります。これらの ID を使用すると、リソースをプリンシパルのように機能させることができます。その結果、組み込み ID があるリソースでは次のことが可能になります。
- リソースのプリンシパル ID を使用してリソースに IAM ロールを付与する
- サービス エージェントを使用せずに他のリソースにアクセスする
たとえば、組み込み ID を持つ Parameter Manager パラメータについて考えてみましょう。パラメータが正しく機能するために、Secret Manager へのアクセスが必要になる場合があります。パラメータに Secret Manager へのアクセスを許可するには、その ID を使用して Secret Manager のシークレット アクセサー ロール(roles/secretmanager.secretAccessor)を付与します。これにより、パラメータはユーザーに代わって Secret Manager シークレットにアクセスできるようになります。
組み込み ID を持つリソースの一覧については、組み込み ID を持つリソースをご覧ください。
リソースの組み込み ID を使用して、Compute Engine インスタンスで実行されているワークロードなど、ユーザー管理のワークロードを認証することはできません。ワークロードを認証する必要がある場合は、Google での認証方法で説明されているいずれかの方法で行います。
組み込み ID を持つリソースにロールを付与する
リソースに組み込み ID がある場合は、許可ポリシーにリソースのプリンシパル ID を含めることで、リソースにロールを付与できます。各リソースのプリンシパル ID に使用する形式を確認するには、単一リソースのプリンシパル ID をご覧ください。
IAM には、タイプや祖先など、特定の特性を持つ組み込み ID を持つリソースセットの識別子も用意されています。これらの ID を許可ポリシーで使用すると、複数のリソースに同じロールを付与できます。サポートされている形式については、リソースセットのプリンシパル ID をご覧ください。