Google Cloudのセキュリティの基本、IAMロールで的確・効率的な権限管理：Google Cloudチートシート（2）

Google Cloudを活用する上でのさまざまなコツを、できるだけ分かりやすく説明する連載「Google Cloudチートシート」。今回はIAMロールを使い、なるべく手間をかけずに適切な権限管理を行う方法を説明します。

[栗原広和，ジーアイクラウド株式会社]

　本連載「Google Cloudチートシート」では、Google Cloudを活用する上でのさまざまなコツを、できるだけ分かりやすく、簡潔に紹介していきます。

　クラウドサービス利用におけるセキュリティ対策の重要性が高まっています。Google Cloudにおいても、セキュリティガバナンスの強化は必須です。第1回で説明した「プロジェクトを組織やフォルダで管理する」という話に続き、今回は予防的統制に焦点を当て、「IAM（Identity and Access Management）」でGoogle Cloud環境のセキュリティリスクを事前に抑え、安全性を高めるための方法をご紹介します。なお、これまではプロジェクトごとに権限を管理していたという前提で説明します。

解決できる課題

• 誰がどのプロジェクトの権限を持っているか把握しづらい
  • 人事異動のたびに、担当者が持つべき権限の棚卸しと設定変更が必要になり、運用負荷が高くなってしまう
  • 権限の棚卸しが不十分だと、業務から離れた担当者のアクセス権限が残ったままになったり、誤った権限設定をしてしまったりするリスクがある

　このような課題を解決するために、IAMを使って組織やフォルダ単位で権限を付与することで、セキュリティを担保しつつ効率的なアクセス管理をする方法をご紹介します。

IAMロールを使ってアクセス管理を効率的に行う

　IAM（Identity and Access Management）は、アカウントにGoogle Cloudリソースの操作権限をひも付ける機能です。各アカウントに許される操作権限は、IAMで定義する「IAMロール」に基づいて決まります。

　IAMロールには、プロジェクトの全てのリソースの操作権限を持つ「オーナー」や、全てのリソースを閲覧するだけの権限を持つ「閲覧者」といった基本ロールがあります。また、ログだけを閲覧できる「ログ閲覧者」や、「Google Compute Engine」を作成・管理するための「Compute Engine管理者」など、事前に定義された役割が数多く用意されています。用途に応じてIAMロールを選択し、付与することで権限を管理します。

　では、IAMを用いると、部署や役割に応じたアクセス管理は具体的にはどのように行えるでしょうか？