このページでは、ファイアウォール インサイトの実行に必要な Identity and Access Management(IAM)のロールと権限について説明します。
ユーザーやサービス アカウントの権限、または事前定義ロールを付与するか、指定した権限を使用するカスタムロールを作成できます。次の表に、IAM 事前定義ロールとそれに関連する権限を示します。
詳しくは、IAM 権限のリファレンスをご覧ください。
説明 | ロール | 権限(メソッド) |
---|---|---|
ファイアウォールとその詳細を閲覧する |
次のいずれかのロールを付与します。
|
compute.firewalls.list |
インサイトのみを閲覧する | 次のいずれかのロールを付与します。
|
projects.locations.insightTypes.insights.list |
インサイト指標を閲覧する | 次のいずれかのロールを付与します。
|
monitoring.timeSeries.list |
インサイトを閲覧および変更する | Firewall Recommender 管理者ロール(roles/recommender.firewallAdmin )を付与します。 |
プロジェクトのロールと権限の詳細については、次のドキュメントをご覧ください。
必要なロールと権限を取得する
API と機能を有効にするために必要な権限を取得するには、プロジェクトに関する次の IAM ロールを付与してもらうよう管理者に依頼してください。
- Service Usage 管理者 (
roles/serviceusage.serviceUsageAdmin
) -
Firewall Recommender 管理者(
roles/recommender.firewallAdmin
)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
これらの事前定義ロールには、API と機能を有効にするために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
API と機能を有効にするには、次の権限が必要です。
- API を有効にする:
serviceusage.services.enable
-
シャドウルールや制限が緩すぎるルールの分析情報を有効にする:
recommender.computeFirewallInsightTypeConfigs.update
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
プロジェクトを選択
前提条件を満たすために操作を行う前、またはファイアウォール インサイトを使用して他の操作を行う前に、Google Cloud プロジェクトを作成または選択することをおすすめします。次の操作を行います。
Google Cloud Console でプロジェクト セレクタ ページに移動します。
Google Cloud プロジェクトを選択または作成します。
Google Cloud プロジェクトの課金が有効になっていることを確認します。
次のステップ
- 設定作業を完了するには、API と機能を有効にするをご覧ください。