IAM を使用したアクセス制御

reCAPTCHA では、Identity and Access Management(IAM)によるロールベース アクセス制御(RBAC)と、VPC Service Controls を使用した reCAPTCHA API のアクセス制御を行います。

IAM によるロールベース アクセス制御

IAM を使用すると、特定の Google Cloud リソースに対するアクセス権を詳細に設定し、ログや分析などの他のリソースへの不要なアクセスを回避できます。

このセクションでは、reCAPTCHA の IAM ロールについて説明します。

ユーザーまたはサービス アカウントに IAM ロールを割り当てる方法については、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。

ロールと権限

次の表に、reCAPTCHA に必要な IAM ロールとその権限を示します。

Role Permissions

(roles/recaptchaenterprise.admin)

Access to view and modify reCAPTCHA Enterprise keys

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.*

  • recaptchaenterprise.firewallpolicies.create
  • recaptchaenterprise.firewallpolicies.delete
  • recaptchaenterprise.firewallpolicies.get
  • recaptchaenterprise.firewallpolicies.list
  • recaptchaenterprise.firewallpolicies.update

recaptchaenterprise.keys.*

  • recaptchaenterprise.keys.create
  • recaptchaenterprise.keys.createTagBinding
  • recaptchaenterprise.keys.delete
  • recaptchaenterprise.keys.deleteTagBinding
  • recaptchaenterprise.keys.get
  • recaptchaenterprise.keys.list
  • recaptchaenterprise.keys.listEffectiveTags
  • recaptchaenterprise.keys.listTagBindings
  • recaptchaenterprise.keys.retrievelegacysecretkey
  • recaptchaenterprise.keys.update

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.*

  • recaptchaenterprise.projectmetadata.get
  • recaptchaenterprise.projectmetadata.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.agent)

Access to create and annotate reCAPTCHA Enterprise assessments

recaptchaenterprise.assessments.*

  • recaptchaenterprise.assessments.annotate
  • recaptchaenterprise.assessments.create

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.relatedaccountgroupmemberships.list

recaptchaenterprise.relatedaccountgroups.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.viewer)

Access to view reCAPTCHA Enterprise keys and metrics

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.get

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.keys.get

recaptchaenterprise.keys.list

recaptchaenterprise.keys.listEffectiveTags

recaptchaenterprise.keys.listTagBindings

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.get

resourcemanager.projects.get

resourcemanager.projects.list

カスタムロール

規制要件などのユースケースでは、カスタムロールが必要になる場合があります。reCAPTCHA の権限を含むカスタムロールを作成するには、次の表に示す適切なアクションを実行します。

役割の説明 アクション
reCAPTCHA Enterprise API の権限のみを付与するロール [API 権限] セクションの権限から選択します。
reCAPTCHA Enterprise API とコンソールの権限を付与するロール [ロールと権限] セクションで権限グループを選択します。
評価を作成してアノテーションを付ける機能を付与するロール ロールと権限セクションにあるロール roles/recaptchaenterprise.agent に権限を含めます。

カスタムの役割について詳しくは、カスタムの役割の作成と管理をご覧ください。

API 権限

次の表に、呼び出し元が reCAPTCHA Enterprise API recaptchaenterprise.googleapis.com/v1 の各メソッドを呼び出す際に必要となる権限を示します。

メソッド(REST / RPC) 必要な権限 リソースタイプ
[recaptchaenterprise.assessments.annotate] / [AnnotateAssessmentRequest] recaptchaenterprise.assessments.annotate プロジェクト
[recaptchaenterprise.assessments.create] / [CreateAssessmentRequest] recaptchaenterprise.assessments.create プロジェクト
[recaptchaenterprise.keys.create] / [CreateKeyRequest] recaptchaenterprise.keys.create プロジェクト
[recaptchaenterprise.keys.delete] / [DeleteKeyRequest] recaptchaenterprise.keys.delete プロジェクト
[recaptchaenterprise.keys.get] / [GetKeyRequest] recaptchaenterprise.keys.get プロジェクト
[recaptchaenterprise.keys.list] / [ListKeysRequest] recaptchaenterprise.keys.list プロジェクト
[recaptchaenterprise.keys.update] / [UpdateKeyRequest] recaptchaenterprise.keys.update プロジェクト

VPC Service Controls

VPC Service Controls は reCAPTCHA をサポートし、reCAPTCHA API に対してさらなるアクセス制御を提供します。詳細については、サポート対象のプロダクトと制限事項 > reCAPTCHA Enterprise をご覧ください。