読み込んでいます...
一致する結果は見つかりませんでした。

Google Cloud コンソールでスキルを試す

ラボの設定手順と要件
アカウントと進行状況を保護します。このラボを実行するには、常にシークレット ブラウジング ウィンドウとラボの認証情報を使用してください。

Google Cloud IAM でロールを作成する

ラボ 1時間 30分 universal_currency_alt クレジット: 5 show_chart 入門
info このラボでは、学習をサポートする AI ツールが組み込まれている場合があります。
このコンテンツはまだモバイル デバイス向けに最適化されていません。
快適にご利用いただくには、メールで送信されたリンクを使用して、デスクトップ パソコンでアクセスしてください。
重要アイコン 重要:

パソコン / ノートパソコンのアイコン このハンズオンラボは、デスクトップまたはノートパソコンでのみ完了するようにしてください。

チェック アイコン ラボごとに 5 回までしか試行できません。

クイズのターゲット アイコン なお、最初の試行で全問正解できないことや、タスクをやり直す必要があることはよくあります。これは学習プロセスの一部です。

タイマー アイコン ラボを開始すると、タイマーを一時停止することはできません。1 時間 30 分後にラボは終了し、最初からやり直す必要があります。

ヒントアイコン 詳しくは、ラボでの技術的なヒントの資料をご覧ください。

アクティビティの概要

IAMIdentity and Access Management)は、組織が環境内のデジタル ID を管理するのに役立つプロセスとテクノロジーの集合です。IAM では、ユーザーの ID と、利用可能なリソースに関連するユーザーのロールを定義することで、アクセス制御を管理します。リソースへのアクセス権限は、個々のユーザーに直接付与されることはありません。代わりに、ユーザーはロールに割り当てられ、そのロールが認証されたプリンシパルに付与されます。IAM では現在「プリンシパル」という用語を使っていますが、これは以前「メンバー」と呼んでいた個人を指します。一部の API では、以前の用語が使用されていることがあります。Google Cloud には、次の 3 種類の IAM ロールがあります。

  • 基本ロール: Google Cloud コンソールで従来から使用されているロール。オーナー、編集者、閲覧者のロールがあります。

  • 事前定義ロール: 基本ロールよりも詳細なアクセス制御が可能なロール。たとえば、事前定義ロール Pub/Sub パブリッシャー(roles/pubsub.publisher)は、単に Cloud Pub/Sub トピックにメッセージを公開するだけのアクセス権を提供します。

  • カスタムロール: 事前定義ロールがニーズを満たさない場合に、組織のニーズに応じて権限を調整するために作成するロールです。

このラボでは、Identity and Access Management(IAM)のカスタムロールを作成および管理する方法について学びます。

シナリオ

移行計画の一環として、Cymbal Bank はワークフローをクラウドに段階的にデプロイしています。これらのデプロイの一つには、顧客の請求と請求書の機密データを保存するデータベースが含まれています。このデータベースをデプロイする前に、包括的な第三者監査を受ける必要があります。この監査を完了するため、監査担当者はこのデータベースにアクセスしなければなりません。監査担当者に業務を遂行してもらうには、適切な権限を付与する必要があります。あなたは、チームリーダーの Chloe から、監査グループがこのデータベースにアクセスできるよう、IAM を使用してアクセス制御を実装する仕事を任されました。

IAM はクラウド セキュリティの基本的な構成要素であり、この仕事で重要な役割を果たします。監査チームのメンバーには、データベースの内容の表示と一覧表示のみが可能な制限付きアクセス権を持つ専用ロールが必要です。チームリーダーから任された仕事は、これらの厳格な要件に沿ってユーザー アクセスを正確に設定することです。

方法は次のとおりです。まず、ロールを作成し、必要な権限を割り当てます。次に、作成した新しいロールをユーザーに割り当てます。最後に、作成したロールが付与されていることを確認します。

設定

[ラボを開始] をクリックする前に

こちらの手順をお読みください。ラボには時間制限があり、一時停止することはできません。[ラボを開始] をクリックすることでスタートするタイマーは、Google Cloud のリソースを利用できる時間を示しています。

この実践ラボでは、シミュレーションやデモ環境ではなく、実際のクラウド環境を使ってご自身でアクティビティを行うことができます。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

このラボを完了するためには、以下が必要です。

  • 標準的なインターネット ブラウザ(Chrome を推奨)
注: このラボの実行には、シークレット モードまたはシークレット ブラウジング ウィンドウを使用してください。これにより、個人アカウントと受講者アカウントの競合を防ぎ、個人アカウントに追加料金が発生することを防ぎます。
  • ラボを完了するための時間(開始後は一時停止できません)
注: すでに個人の Google Cloud アカウントやプロジェクトをお持ちの場合でも、このラボでは使用しないでください。アカウントへの追加料金が発生する可能性があります。

ラボを開始して Google Cloud コンソールにログインする方法

  1. [ラボを開始] ボタンをクリックします。左側の [ラボの詳細] パネルには、以下が表示されます。

    • 残り時間
    • [Google Cloud コンソールを開く] ボタン
    • このラボで使用する必要がある一時的な認証情報
    • このラボを行うために必要なその他の情報(ある場合)
    注: ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。

  2. [Google Cloud コンソールを開く] をクリックします(Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します)。新しいブラウザタブで [ログイン] ページが開きます。

    ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておくと、簡単に切り替えられます。

    注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

  3. 必要に応じて、下のGoogle Cloud ユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。[次へ] をクリックします。

{{{user_0.username | "Google Cloud username 1"}}}

[ラボの詳細] パネルでも Google Cloud ユーザー名を確認できます。

  1. 以下の Google Cloud パスワードをコピーして、[ようこそ] ダイアログに貼り付けます。[次へ] をクリックします。
{{{user_0.password | "Google Cloud password"}}}

[ラボの詳細] パネルでも Google Cloud のパスワードを確認できます。

重要: 認証情報は左側のパネルに表示されたものを使用してください。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。
  1. その後次のように進みます。
    • 利用規約に同意します。
    • 一時的なアカウントですので、復元オプションや 2 要素認証プロセスは設定しないでください。
    • 無料トライアルに登録しないでください。

その後このタブで Cloud Console が開きます。

注: 左上にあるナビゲーション メニューをクリックすると、Google Cloud のプロダクトやサービスのリストが含まれるメニューが表示されます。 ナビゲーション メニュー アイコンがハイライトされた Google Cloud コンソール メニュー

タスク 1. カスタムロールを作成する

最小権限の原則の適用は、IAM に不可欠です。ユーザーには、タスクの実行に必要な権限のみが付与されます。カスタムロールを使用すると、組織のニーズに合わせて権限を調整し、ユーザーが広範で過剰な権限を持たないようにすることができます。

このタスクでは、Cymbal の監査チームに割り当てるカスタムロールを作成します。次に、作成したカスタムロールに対して、データベースのコンテンツを表示できる制限付きアクセス権を付与します。

  1. Google Cloud コンソールのナビゲーション メニューナビゲーション メニュー アイコン)で、[IAM と管理] > [IAM] をクリックします。[ロール] ページが開きます。

  2. [ロール] ページの上部にあるエクスプローラ バーで、[+ ロールを作成] をクリックします。

  3. [ロールの作成] ダイアログで、次の設定を指定します。残りの設定はデフォルト値のままにします。

プロパティ 値(入力または選択)
タイトル 監査チームのレビュー担当者
説明 監査チームがレビューを実施できるようにするカスタムロール。このロールは、Firebase データベース リソースに対する読み取り専用アクセス権を付与します。
ID CustomRole
ロールのリリース段階 一般提供

各カスタムロールにはロールのリリース段階を設定できます。これは、ロールの開発、テスト、デプロイのさまざまなフェーズを反映したものです。リリース段階は、ロールの現在の状態やさまざまなユースケースへの適合性をユーザーが理解するのに役立ちます。

Google Cloud には、いくつかのリリース段階がありますが、ロールのリリース段階で重要なのは次の 3 つです。

アルファ版: 通常、アルファ版のロールは試験運用版で、後で大幅な変更が加えられる可能性があります。本番環境にはおすすめしません。ユーザーはアルファ版のロールについてフィードバックを提供し、開発に影響を与えることができます。

ベータ版: ベータ版のロールはアルファ版のロールよりも完成に近づいていますが、この段階でもユーザーからのフィードバックに基づいて更新や改善が行われる可能性があります。非本番環境の一部シナリオには適していると考えられますが、完全には安定していない可能性があります。

一般提供(GA): 一般提供に達したロールは、徹底的な開発、テスト、改善を経てリリースされています。安定性、信頼性が高く、本番環境で幅広く使用するのに適していると見なされます。GA ロールは広範にわたってレビューされており、一貫性のある信頼できる動作を提供できます。

  1. [+ 権限を追加] をクリックします。[権限の追加] ダイアログ ボックスが表示されます。

  2. [ロールで権限をフィルタリングする] フィールドに「Firebase Realtime」と入力します。

  3. 結果のプルダウン フィールドで、[Firebase Realtime Database 閲覧者] チェックボックスをオンにします。

  4. [OK] をクリックします。

  5. [フィルタ] で、[firebase.clients.list] と [firebasedatabase.instances.list] チェックボックスをオンにし、これらの権限をカスタムロールに追加します。

Google Cloud IAM の [権限の追加] ダイアログ ボックスで、Firebase Realtime Database 閲覧者ロールの firebase.clients.list 権限と firebasedatabase.instances.list 権限がフィルタされている

  1. [追加] をクリックします。

  2. [ロールの作成] ダイアログ ボックスで、[作成] をクリックします。

新しいロールが作成され、プロジェクトの既存のロールに追加されます。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。 カスタムロールを作成する

タスク 2. ユーザーにロールを付与する

このタスクでは、タスク 1 で作成したカスタムロールを既存のユーザーに割り当てます。

注: このラボでは、[ラボの詳細] パネルに記載されている Google Cloud ユーザー名 2 に新しいロールを付与します。

  1. Google Cloud コンソールのナビゲーション メニューナビゲーション メニュー アイコン)で、[IAM と管理] > [IAM] をクリックします。[IAM] ページが開きます。

  2. [プリンシパル別に表示] タブで、[アクセスを許可] をクリックします。 アクセス権を付与するためのダイアログ ボックスが開きます。

アクセス権を付与するためのダイアログ ボックスは、Google Cloud における IAM システムの重要なコンポーネントです。ユーザー、グループ、サービス アカウントに対して、これらの権限を正確に定義して管理できます。

  1. [Google Cloud ユーザー名 2: ] をコピーして、[新しいプリンシパル] フィールドに貼り付けます。

Google Cloud IAM のアクセス権を付与するためのダイアログ ボックスの設定に、ユーザーがプロジェクトに追加されたことが表示されている

  1. [ロールを追加] ボタンをクリックし、[カスタム] を選択して、[監査チームのレビュー担当者] を選択します。これは、前のタスクで作成したロールです。

Google Cloud IAM のアクセス権を付与するためのダイアログ ボックスの設定には、監査チームのレビュー担当者ロールが付与されるユーザーが表示されます。

  1. [保存] をクリックします。

これで、カスタムロールがユーザーに割り当てられました。

[進行状況を確認] をクリックして、このタスクが正しく完了したことを確認します。 ユーザーにロールを付与する

タスク 3. ロールを確認する

これまでのところ、適切な権限を持つカスタムロールを作成し、そのロールをユーザーに付与しました。次に、作成したロールがユーザーに割り当てられていることを確認します。設定が正しく構成されていることを確認することは、クラウド セキュリティ アナリストのワークフローで不可欠です。

このタスクでは、Google Cloud の Policy Analyzer を使用して、ユーザーに付与されたロールを確認するクエリを作成します。

  1. Google Cloud コンソールのナビゲーション メニューナビゲーション メニュー アイコン)で、[IAM と管理] > [ポリシー アナライザ] をクリックします。[ポリシー アナライザ] ページが開きます。

  2. [ポリシーの分析] セクションの [カスタムクエリ] タイルで、[カスタムクエリを作成] をクリックします。左上の Google Cloud ナビゲーション メニュー(ナビゲーション メニュー アイコン)に「いつでもメニューをクリックして、ビジネスのソリューションを見つけることができます」というポップアップが表示されることがあります。[OK] を選択して次のステップに進みます。

  3. [クエリ パラメータの設定] セクションで、[パラメータ 1] プルダウン メニューを開き、[プリンシパル] を選択します。

  4. [Google Cloud ユーザー名 2: ] をコピーして、[プリンシパル] フィールドに貼り付けます。

Google Cloud IAM の [ポリシー アナライザ] ウィンドウに、ユーザーのクエリ パラメータを設定するカスタムクエリの設定が表示されている

  1. [Continue] をクリックします。

  2. [クエリ結果の詳細オプション] セクションで、[List resources within resource(s) matching your query](クエリに一致するリソース内のリソースを一覧表示する)チェックボックスをオンにします。

  3. [Analyze] をクリックし、プルダウン メニューで [クエリを実行] を選択します。

[結果] にユーザーに付与されたロールが表示されます。結果を使用して、次の質問に答えてください。

まとめ

これで完了です。IAM を使用してカスタムロールを作成し、そのロールのアクセス権をユーザーに付与し、Google Cloud 内で権限を確認できました。Cymbal Bank の監査チームは、作成したカスタムロールを使用してデータベース監査を開始できます。

IAM では、ロールに基づいて、どのユーザーがどのリソースにアクセスできるかを定義します。組織の環境でデジタル ID を管理するうえで非常に重要であり、クラウド セキュリティ アナリストとしての業務に不可欠です。

IAM サービスを使用することで、ストレージ リソースへのアクセスと権限を効果的に管理できるようになります。

ラボを終了する

すべてのタスクが問題なく完了したことを確認してから、ラボを終了してください。準備ができたら、[ラボを終了] をクリックし、[送信] をクリックします。

ラボを終了すると、ラボ環境へのアクセス権が削除され、完了した作業にもう一度アクセスすることはできなくなります。

Copyright 2026 Google LLC All rights reserved. Google および Google のロゴは、Google LLC の商標です。その他すべての社名および製品名は、それぞれ該当する企業の商標である可能性があります。

始める前に

  1. ラボでは、Google Cloud プロジェクトとリソースを一定の時間利用します
  2. ラボには時間制限があり、一時停止機能はありません。ラボを終了した場合は、最初からやり直す必要があります。
  3. 画面左上の [ラボを開始] をクリックして開始します

シークレット ブラウジングを使用する

  1. ラボで使用するユーザー名パスワードをコピーします
  2. プライベート モードで [コンソールを開く] をクリックします

コンソールにログインする

    ラボの認証情報を使用して
  1. ログインします。他の認証情報を使用すると、エラーが発生したり、料金が発生したりする可能性があります。
  2. 利用規約に同意し、再設定用のリソースページをスキップします
  3. ラボを終了する場合や最初からやり直す場合を除き、[ラボを終了] はクリックしないでください。クリックすると、作業内容がクリアされ、プロジェクトが削除されます

このコンテンツは現在ご利用いただけません

利用可能になりましたら、メールでお知らせいたします

ありがとうございます。

利用可能になりましたら、メールでご連絡いたします

1 回に 1 つのラボ

既存のラボをすべて終了して、このラボを開始することを確認してください

シークレット ブラウジングを使用してラボを実行する

このラボを実行するには、シークレット モードまたはシークレット ブラウジング ウィンドウを使用することをおすすめします。これにより、個人アカウントと受講者アカウントの競合を防ぎ、個人アカウントに追加料金が発生することを防ぎます。