Google Cloud でのアクセス管理の仕組みを理解することは、SAP の実装を計画する際に以下の決定を行うために重要です。
- Google Cloud 上でリソースを整理する方法。
- リソースへのアクセスを許可するチームメンバー
- 各チームメンバーがリソース アクセス用の最小権限の原則を遵守する必要がある権限。
- どのサービスやアプリケーションがどのサービス アカウントを使用する必要があるかと、それぞれに付与する権限のレベル
Google Cloud での認証の概要については、認証の概要をご覧ください。
リソース階層と継承
Cloud Platform のリソース階層は、Google Cloud 上のさまざまなリソース コンテナとその関係性、アクセス スコープを定義します。
組織やプロジェクトなどの親リソースに適用されるアクセス制御ポリシーは、そのリソースの子(Compute Engine 仮想マシン、組織やプロジェクトの Cloud Storage バケットなど)に継承されます。
Identity and Access Management
Identity and Access Management(IAM)では、Google Cloud リソースの権限を一元管理できます。誰がどのリソースにアクセスできるのかを定義することで、アクセス制御を管理できます。たとえば、VM、永続ディスク、ネットワークの作成や変更など、SAP インスタンスに対するコントロール プレーンの処理を実行できるユーザーを制御できます。
アプリケーションやサービスに権限を付与するときに IAM のサービス アカウントを使用できます。したがって、Compute Engine 内でサービス アカウントがどのように機能するか理解しておく必要があります。詳細については、サービス アカウントをご覧ください。
IAM のロールはユーザーに権限を付与します。ロールとそれによって付与される権限の詳細については、Identity and Access Management のロールをご覧ください。
IAM の詳細については、IAM の概要をご覧ください。
リソース固有の IAM 情報
Compute Engine リソースなど、SAP システムが使用するリソースごとに、IAM がリソースの認証およびアクセス管理をどのように実装するか理解する必要があります。また、IAM がそのリソースに対してどのような事前定義ロールを付与するのかについても理解しておく必要があります。
SAP システムで一般的に使用されるリソースの IAM の実装方法については、以下をご覧ください。
- BigQuery の事前定義ロールと権限
- Compute Engine アクセス制御オプション
- Deployment Manager のアクセス制御オプション
- Cloud Logging アクセス制御ガイド
- Cloud Monitoring のアクセス制御