用語解説
Google Cloud IAM(Identity and Access Management)とは、GCPリソースへのアクセス権限を一元管理する認証・認可サービスです。「誰が(who)」「何に対して(resource)」「何をできるか(role/permission)」をポリシーで定義します。
プリンシパル(ユーザー・グループ・サービスアカウント)にロールを付与することでアクセスを制御し、最小権限の原則をGCPリソース全体に適用できます。
どんな場面で活用するか
- 開発・ステージング・本番環境で異なる権限を持つサービスアカウントを設定したい場合
- 外部ベンダーや委託先に特定プロジェクトへの限定的なアクセス権を付与したい場合
- Workload Identity連携でオンプレミスやAWSのワークロードにGCPリソースへのアクセスを許可したい場合
よくある誤解
「プロジェクトオーナーロールを気軽に付与してよい」は誤りです。オーナーロールは課金情報の変更・プロジェクト削除を含む全権限を持ちます。日常業務には必要最小限のロールを選び、特権アカウントの使用はログを記録して管理しましょう。
判断のヒント
セキュリティ強化サービスアカウントキーファイルの作成は極力避け、Workload Identityや内部サービス間通信にはデフォルトサービスアカウントとIAM条件を活用しましょう。定期的にIAM推奨ツール(Policy Analyzer・Recommender)でover-permissionedなバインディングを検出・修正することが重要です。
