このページでは、 Google Cloud リソースへのアクセスを制御するために使用するロールのタイプ(事前定義、カスタム、基本)について説明します。
事前定義ロールを使用する場合
ほとんどの場合、基本ロールやカスタムロールではなく事前定義ロールを使用できます。事前定義ロールは、特定のGoogle Cloud リソースへのアクセス権を細かく付与します。Google によって管理され、Google Cloudに新しい権限、機能、サービスが追加されると自動的に更新されます。
ただし、カスタムロールや基本ロールを使用する方が望ましい場合もあります。以降のセクションでは、こうしたケースについて説明します。
カスタムロールが必要な場合
事前定義ロールとは異なり、カスタムロールは Google によって維持されません。つまり、 Google Cloud が新しい権限、機能、サービスを追加しても、カスタムロールは自動で更新されません。このため、ニーズに合わせて最も制限された事前定義ロールを付与することをおすすめします。
ただし、次のような場合はカスタムロールを作成して付与することをおすすめします。
- プリンシパルには権限が必要ですが、事前定義ロールにはプリンシパルに不要な権限や、含める必要のない権限も含まれています。
- ロールの推奨事項を使用して、制限の緩すぎるロールを適切なロールに置き換えます。カスタムロールを作成するための推奨事項が表示されることもあります。
カスタムロールを使用する場合は、次の上限に注意してください。
- カスタムロールには、最大 3,000 の権限を含めることができます。
- また、カスタムロールのタイトル、説明、権限名の合計サイズは最大 64 KB です。
作成できるカスタムロールの数には制限があります。
- 組織レベルで最大 300 の組織レベルのカスタムロールを作成できます。
- 組織内のプロジェクトごとに最大 300 個のプロジェクト レベルのカスタムロールを作成できます。
基本ロールを使用する場合
基本ロールには、すべての Google Cloud サービスにかかわる多くの権限が含まれます。本番環境では、他に選択肢がない限り、基本ロールを付与しないでください。代わりに、ニーズに合わせて最も制限された事前定義ロールまたはカスタムロールを付与します。
基本ロールを置き換える必要がある場合は、ロールの推奨事項を使用して、代わりに付与するロールを決定できます。また、Policy Simulator を使用すると、ロールを変更してもプリンシパルのアクセス権に影響しないようにすることもできます。
プロジェクトに対する幅広い権限を付与する必要がある場合は、基本ロールの付与をおすすめします。この状況は、開発環境またはテスト環境で権限を付与する場合によく生じます。
次のステップ
- 適切な事前定義ロールを見つける方法を確認する。
- カスタムロールを作成する方法を学ぶ。
- 基本ロールの詳細について学習する。