← サポートに戻る

GCP IAM 連携

GCP IAM のユーザーと IAM ロールを自動取得して、アクセスレビューの対象リストを生成します。 接続にはサービスアカウントの JSON キーを使用します。 設定には GCP 組織の Owner または組織管理者権限が必要です。

必要な IAM ロール

以下の 2 つのロールを組織レベルでサービスアカウントに付与してください。 プロジェクトレベルの付与では組織全体のメンバー一覧を取得できません。

ロール用途
roles/iam.securityReviewer(セキュリティ審査担当者)組織・プロジェクトの IAM ポリシーの読み取り
roles/resourcemanager.organizationViewer(組織閲覧者)組織配下のプロジェクト一覧の取得

接続手順

  1. 1

    プロジェクトを選択して IAM を開く

    Google Cloud コンソール(console.cloud.google.com)を開き、サービスアカウントを作成するプロジェクトを選択してから、左メニューの「IAM と管理」→「サービスアカウント」に移動します。専用プロジェクトがない場合は既存のプロジェクトをいずれか選択してください(サービスアカウントはプロジェクト単位で作成します)。

  2. 2

    サービスアカウントを作成

    1. 「サービスアカウントを作成」をクリック
    2. サービスアカウント名: access-review(任意)
    3. 説明を入力し「作成して続行」をクリック
    4. 権限(ロール)の付与および、「アクセス権を持つプリンシパル」の設定はここでは行わず「完了」をクリック
      (組織レベルでのロール付与は次のステップで行います)
    5. サービスアカウントが作成されたら、メールアドレスをコピー
  3. 3

    組織レベルで IAM ロールを付与(重要)

    ⚠️ 重要: ロールはプロジェクトレベルではなく、必ず組織レベルで付与してください。プロジェクトレベルの付与では組織全体のメンバー一覧を取得できません。
    1. 組織を選択したうえで、左メニューの「IAM と管理」→「IAM」を開く
    2. 「アクセスを許可」をクリック
    3. プリンシパル欄に作成した先ほどのサービスアカウントのメールアドレスを入力
      形式: access-review@<project-id>.iam.gserviceaccount.com
    4. 以下の 2 つのロールを追加:
      • roles/iam.securityReviewer(セキュリティ審査担当者)
      • roles/resourcemanager.organizationViewer(組織閲覧者)
    5. 「保存」をクリック
  4. 4

    JSON キーを作成・ダウンロード

    1. 「IAM と管理」→「サービスアカウント」で作成したサービスアカウントをクリック
    2. 「鍵」タブを選択
    3. 「キーを追加」→「新しい鍵を作成」をクリック
    4. キーのタイプ: JSON を選択し「作成」
    5. JSON ファイルが自動的にダウンロードされます
    ヒント: ダウンロードした JSON ファイルは安全な場所に保管してください。このファイルをアップロードした後、GCP コンソール側でキーを削除してもアプリ内の接続には影響しません。
  5. 5

    アプリに JSON キーをアップロード

    Integrations ページの「Google Cloud (GCP IAM)」→「接続」をクリックし、ダウンロードした JSON ファイルを選択してアップロードします。接続が完了すると組織名が表示されます。また、「メンバーを確認」で適切にIAMユーザーが取得できているかご確認ください。

注意事項

⚠️ サービスアカウントキーの有効期限について

Google Workspace 管理者がドメインポリシーで「サービスアカウントキーの最大有効期間」を設定している場合、 設定された期間(例: 90日)を超えると接続エラーが発生します。 エラーが発生した場合は GCP コンソールで新しいキーを作成し、アプリから再接続してください。 ポリシーが設定されていない場合(デフォルト)、キーの有効期限はありません。

取得するデータ

データ用途
メールアドレスレビュー対象ユーザーの識別
IAM ロール付与されている権限の一覧表示・レビュー判定

取得したデータはアクセスレビューの対象リスト生成のみに使用します。第三者への提供・学習への利用は行いません。

よくある質問

Q: 「アクセス可能な GCP 組織が見つかりません。サービスアカウントに組織レベルの IAM ロールが付与されているか確認してください。」と表示されました

A: 付与した権限に問題がある可能性が高いです。特に、接続手順のステップ3の通りプロジェクトレベルではなく組織レベルでのロール付与がされているかを再度ご確認ください。組織レベルで正しく付与されていない場合、組織配下のプロジェクト一覧を取得できず、このエラーが発生します。

Q: 正しく権限を付与した JSON キーを使用してもエラーが発生する場合は?

A: サービスアカウントのロールを付与した後、GCP 側で権限の反映に数分かかることがあります。時間をおいてから再度接続をお試しください。それでも解決しない場合はサポートまでお問い合わせください。

Q: 接続後に定期的な更新は必要ですか?

A: デフォルトでは不要です。サービスアカウントキーは期限なく有効です。ただし、Google Workspace 管理者が「サービスアカウントキーの最大有効期間」ポリシーを設定している場合、期限切れ後に接続エラーが発生します。その際は新しいキーを GCP コンソールで作成し、アプリから再接続してください。

Q: 組織レベルのロール付与が難しい場合は?

A: 組織の Owner 権限(roles/owner)を持つ担当者に依頼してください。プロジェクトオーナーでは組織レベルの IAM を操作できません。

Q: 接続解除したい場合は?

A: アプリ側の「解除」ボタンで接続を解除できます。GCP 側のサービスアカウントとキーは削除されないため、不要になった場合は GCP コンソールから手動で削除してください。

ご不明な点は サポートページ またはメール(support@shitameru.com)までお問い合わせください。