セキュリティとデータアクセス方針
このページでは、以下について説明します。
-
DoiT プラットフォームがどの顧客データにアクセスするのか、その理由、どのようなデータをどのように保存するのか
-
DoiT コンソールで特定の機能を有効にするために必要な権限
プライバシーとデータ保護
保存しているもの
DoiT プラットフォームの機能に必要なデータのみを保存します。
-
Cloud Billing exports — 請求のコア機能に必要であり、BigQuery に保存します
-
ユーザー情報 — DoiT プラットフォームのコア機能に必要であり、Firestore に保存します
-
DoiT コンソールを使用して作成された資産(請求書、請求プロファイル など)— DoiT プラットフォームのコア機能に必要であり、Firestore に保存します
-
契約 — DoiT プラットフォームのコア機能に必要であり、Google Cloud Storage に保存します
-
サービスアカウントキー — BigQuery Intelligence に必要であり、Firestore に保存し KMS で暗号化します
データの取り扱いと保存方法
取り扱うすべてのデータは、HTTPS (TLS) のような業界標準プロトコルを使用して転送時に暗号化されます。
保存するすべてのデータは、保存時に暗号化されます。
-
Google BigQuery — Google 管理の暗号鍵と Advanced Encryption Standard (AES) を使用
-
Google Firestore — Google 管理の暗号鍵と AES を使用
-
Google Cloud Storage — Google 管理の暗号鍵と AES を使用
-
サービスアカウントキー — Google Cloud KMS を使用して暗号化し、Google Secret Manager に保存
データにアクセスできる者
アカウントマネージャーやサポートエンジニアなどの顧客対応のロールにある DoiT 従業員は、DoiT プラットフォーム内のデータにアクセスできます。少数のコア DoiT プラットフォーム開発チームは、基盤となるストレージ内のデータに直接アクセスできます。
サービスアカウントキーは、バックエンドシステムによる Google Cloud からの関連データ取得にのみ使用されます。KMS キーへのアクセス権を持つのは、少数のコア DoiT プラットフォーム開発チームのみです。
サードパーティ
以下に記載する DoiT プラットフォームのコア機能に必要な例外を除き、データをサードパーティに提供することはありません。
-
DoiT プラットフォームサポート — エキスパートへ問い合わせのバックエンドとして Zendesk を使用しています。問い合わせ関連データは Zendesk に保存され、Zendesk API を使用して取得されます [1]。
-
決済 — 決済には Stripe を使用しています。すべての決済関連データ(クレジットカードまたは銀行口座の詳細など)は Stripe プラットフォームに保存され、Stripe API を通じて利用されます [2]。
コンプライアンス
当社のプロダクトは、セキュリティ、プライバシー、コンプライアンス管理策について、定期的に第三者による検証を受け、グローバルな標準に対する認証を取得しています。当社はカバレッジの拡大に継続的に取り組んでいます。
-
EU および GDPR 準拠 — 当社は欧州経済領域 (EEA) 内に顧客を有しており、一般データ保護規則 (GDPR) に準拠してデータを取り扱っています [3]。
-
SOC 2 および SOC 3 は、American Institute of Certified Public Accountants (AICPA) の Auditing Standards Board による既存の Trust Services Criteria (TSC) に基づいたレポートです。このレポートは、セキュリティ、可用性、処理の完全性、機密性、プライバシーに関連する組織の情�報システムを評価します。
-
ISO/IEC 27001 は、情報セキュリティマネジメントシステム (ISMS) の要件を定めるとともに、ベストプラクティスのセットを規定し、情報リスクの管理に役立つセキュリティ管理策の詳細を示します。
DoiT プラットフォームの ISO/IEC 27001 および SOC 2/3 認証は、trust.doit.com からリクエストできます。
外部参照
- [1]: Zendesk Privacy and Data Protection
- [2]: Stripe Global Privacy Policy
- [3]: EU Data Protection page
Ava のセキュリティコンプライアンス
当社の生成 AI チャットボットである Ava は、顧客データの機密性、完全性、可用性を確保するために最高水準のセキュリティ対策を講じて設計されています。
GenAI 組織サブスクリプシ�ョン
当社組織は GenAI のエンタープライズサブスクリプションを契約しており、これにより追加のセキュリティ層とコントロールが提供されます。
-
強化されたセキュリティ対策: エンタープライズ契約者専用の追加のセキュリティプロトコル。
-
専用データハブ: Ava が処理するすべてのデータは、プライベートで安全なデータハブに保存され、認可されていない第三者がアクセスしたり漏えいさせたりすることができないようになっています。さらに、当社は GenAI による学習目的でデータを提供することは決してありません。
顧客データの取り扱い
Billing Data
Cloud Analytics(クラウド分析)レポートを生成するために、以下を行います。
-
認証要件: Billing データには、安全な認証システムを通じてログインしている顧客のみがアクセスおよび生成できます。
-
API セキュリティ: 既存の Cloud Analytics API を活用し、データが安全に処理され、認可され�ていないユーザーに侵害されたりアクセスされたりしないようにしています。
顧客コンテキストと資産管理
顧客固有のコンテキスト、資産、および一般情報については、以下を行います。
-
ベクターデータベースの利用: 顧客の利用状況と関連性に基づき、ベクターデータベースを利用して顧客データを安全に保存および埋め込みます。
-
データの分離: 各顧客のデータは堅牢なフィルタリングメカニズムを用いて分離され、顧客同士が互いのデータにアクセスしたり閲覧したりできないようにしています。
これらのセキュリティ実務に従うことで、Ava はすべての顧客データを最高レベルのセキュリティで取り扱い、不正アクセスを防止し、あらゆる処理においてデータの完全性を維持します。
機能別の権限
Google Cloud
コア機能
以下は、DoiT プラットフォームに必要な読み取り専用権限の最小セットです。
アクセスレベル: Organization、Project
Google Cloud のリソース階層に関する情報を取得し、請求情報と相関させるための権限。
resourcemanager.projects.get
compute.addresses.list
compute.disks.get
compute.disks.list
compute.images.get
compute.images.list
compute.instances.get
compute.instances.list
compute.projects.get
compute.regions.get
compute.regions.list
compute.snapshots.get
compute.snapshots.list
compute.zones.get
compute.zones.list
compute.commitments.get
compute.commitments.list
Google Cloud API(例: Recommender API)のステータスを確認し、必要に応じて有効化するための権限。
serviceusage.services.enable
serviceusage.services.get
serviceusage.services.list
serviceusage.services.use
アクセスレベル: Organization のみ
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.projects.list
アクセスレベル: Project のみ
resourcemanager.projects.getIamPolicy
Ava 閲覧専用
アクセスレベル: Organization、Project
Ava が、特定の選択された Organization または Project に対して、環境全体のデータを露出させることなく、コンテキストに応じた粒度の高いインサイトを安全に生成できるようにするために必要な権限。
compute.instanceGroups.get
compute.instanceGroupManagers.get
compute.routers.gets
compute.machineTypes.get
bigquery.tables.get
bigquery.tables.list
bigquery.datasets.get
bigquery.jobs.get
bigquery.jobs.list
bigquery.jobs.listAll
bigquery.capacityCommitments.get
bigquery.capacityCommitments.list
bigquery.reservations.get
bigquery.reservations.list
bigquery.reservationAssignments.list
bigquery.reservationAssignments.search
storage.buckets.get
storage.buckets.list
storage.buckets.getIamPolicy
storage.objects.getIamPolicy
cloudsql.instances.get
cloudsql.instances.list
dns.resourceRecordSets.list
cloudfunctions.functions.get
cloudfunctions.functions.list
cloudfunctions.operations.get
cloudfunctions.operations.list
cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.operations.get
cloudbuild.operations.list
pubsub.topics.get
pubsub.topics.list
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.schemas.get
pubsub.schemas.list
logging.logs.list
logging.sinks.get
logging.sinks.list
logging.exclusions.get
logging.exclusions.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
monitoring.groups.get
monitoring.groups.list
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.services.get
monitoring.services.list
monitoring.slos.get
monitoring.slos.list
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
cloudasset.assets.listResource
cloudasset.assets.searchAllResources
cloudasset.operations.list
securitycenter.assets.get
vpcaccess.connectors.get
vpcaccess.connectors.list
vpcaccess.operations.get
vpcaccess.operations.list
iam.roles.get
iam.roles.list
iam.serviceAccounts.get
iam.serviceAccounts.list
iam.workloadIdentityPools.get
iam.workloadIdentityPools.list
iam.workloadIdentityPoolProviders.get
iam.workloadIdentityPoolProviders.list
errorreporting.errorEvents.list
BigQuery Intelligence
アクセスレベル: Organization のみ
BigQuery Intelligence は、プロジェクトをまた�いだログの監視と分析を行うために、Organization レベルで監査ログシンク を作成します。Project レベルのシンクからログを取得することはサポートしていません。
これらの権限により、BigQuery Intelligence はプロジェクト、データセット、テーブルの「構造」にアクセスして、リソース名とともにダッシュボード上でコストと最適化の推奨事項を表示できます。これらの権限によって BigQuery データ自体へアクセスすることはできません。
BigQuery Intelligence の権限は、いくつかのカテゴリに分かれています。
BigQuery Intelligence
BigQuery 環境に対するコスト最適化の推奨事項を取得するために必要な権限。
| Permission | 説明 |
|---|---|
bigquery.datasets.create | 新しい空のデータセットを作成します。 |
bigquery.datasets.get | データセットのメタデータと権限を取得します。 |
bigquery.tables.get | テーブルのメタデータを取得します。 |
bigquery.tables.list | テーブルおよびテーブルのメタデータを一覧表示します。 |
bigquery.jobs.get | 任意のジョブのデータとメタデータを取得します。 |
bigquery.jobs.list | すべてのジョブを一覧表示し、任意のユーザーが送信したジョブのメタデータを取得します。他のユーザーが送信したジョブの詳細とメタデータはマスクされます。 |
bigquery.jobs.listAll | すべてのジョブを一覧表示し、任意のユーザーが送信したジョブのメタデータを取得します。 |
bigquery.jobs.create | プロジェクト内でジョブ(クエリを含む)を実行します。 |
bigquery.routines.list | ルーチンおよびルーチンのメタデータを一覧表示します。 |
bigquery.routines.get | ルーチンの定義とメタデータを取得します。 |
logging.sinks.create | Cloud Logging に新しいシンクを作成します。 |
logging.sinks.get | Cloud Logging 内のシンクに関する情報を取得します。 |
BigQuery Intelligence Editions
BigQuery Intelligence が Google BigQuery editions と連携して動作するために必要な追加の権限です。
| Permission | Description |
|---|---|
bigquery.capacityCommitments.list | プロジェクト内の現在のすべてのキャパシティコミットメントを取得するために、INFORMATION_SCHEMA.CAPACITY_COMMITMENTS ビュー をクエリします。 |
bigquery.capacityCommitments.get | プロジェクト内のキャパシティコミットメントを取得します。 |
bigquery.reservations.list | プロジェクト内のすべてのスロット予約の一覧を取得するために、INFORMATION_SCHEMA.RESERVATIONS ビュー をクエリします。 |
bigquery.reservations.get | スロット予約の詳細を取得します。 |
bigquery.reservationAssignments.list | プロジェクト内のすべての予約割り当てを取得するために、INFORMATION_SCHEMA.ASSIGNMENTS ビュー をクエリします。 |
bigquery.reservationAssignments.search | 指定したプロジェクト・フォルダ・組織に対する予約割り当てを検索します。 |
BigQuery Intelligence Insights
追加の BigQuery Intelligence の Insights を取得するために必要な権限です。
| Permission | Description |
|---|---|
recommender.bigqueryCapacityCommitmentsInsights.getrecommender.bigqueryCapacityCommitmentsInsights.listrecommender.bigqueryCapacityCommitmentsRecommendations.getrecommender.bigqueryCapacityCommitmentsRecommendations.list | コスト最適なコミットメントスロットの推奨事項 へアクセスします。 |
recommender.bigqueryMaterializedViewInsights.getrecommender.bigqueryMaterializedViewInsights.listrecommender.bigqueryMaterializedViewRecommendations.getrecommender.bigqueryMaterializedViewRecommendations.list | マテリアライズドビューの推奨事項 へアクセスします。 |
recommender.bigqueryPartitionClusterRecommendations.getrecommender.bigqueryPartitionClusterRecommendations.listrecommender.bigqueryTableStatsInsights.getrecommender.bigqueryTableStatsInsights.list | パーティションとクラスタに関する推奨事項 へアクセスします。 |
Cloud Diagrams
Access level: Organization, Project
Google Cloud 環境向けに Cloud Diagrams を作成するために必要な権限です。
cloudasset.assets.listResource
cloudasset.assets.searchAllResources
compute.instanceGroups.get
compute.instanceGroupManagers.get
compute.routers.get
dns.resourceRecordSets.list
Composer
Access level: Project
Composer にインフラストラクチャを分析させ、ダイアグラムを生成させるために必要な権限です。
artifactregistry.dockerimages.list
artifactregistry.locations.list
artifactregistry.repositories.list
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.tables.list
cloudfunctions.functions.getIamPolicy
cloudfunctions.functions.list
cloudkms.cryptoKeys.list
cloudkms.keyRings.list
cloudsql.instances.list
compute.addresses.list
compute.autoscalers.list
compute.backendBuckets.list
compute.backendServices.list
compute.disks.list
compute.firewallPolicies.list
compute.firewalls.list
compute.forwardingRules.list
compute.images.list
compute.instanceGroups.list
compute.instances.getIamPolicy
compute.instances.list
compute.networks.list
compute.projects.get
compute.regions.list
compute.subnetworks.list
compute.zones.list
container.clusters.list
dataflow.jobs.list
dataproc.clusters.list
dns.managedZones.getIamPolicy
dns.managedZones.list
iam.serviceAccountKeys.list
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.list
pubsub.subscriptions.list
pubsub.topics.list
redis.instances.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
storage.buckets.getIamPolicy
storage.buckets.list
Google Cloud Rightsizing
Access level: Organization only
組織全体の Google Compute Engine インスタンスに対して Rightsizing の推奨事項を提供するために必要な権限です。
recommender.computeInstanceMachineTypeRecommendations.list
compute.instances.list
Rightsizing の推奨事項を実行するために必要な権限です。
compute.instances.setMachineType
compute.instances.stop
compute.instances.start
Insights from BigQuery export
GCP Recommender BigQuery エクスポートからのインサイト向けにデータセットを接続するために必要な権限は以下のとおりです。
Access level: Project
| Permission | Description |
|---|---|
bigquery.jobs.create | プロジェクト内でジョブ(クエリを含む)を実行します。 |
Access level: Dataset
| Permission | Description |
|---|---|
bigquery.tables.get | テーブルのメタデータを取得します。 |
bigquery.tables.list | テーブルおよびテーブルメタデータの一覧を取得します。 |
bigquery.tables.getData | テーブルデータを取得します。テーブルデータをクエリするために必要な権限です。 |
Kubernetes core
次の目的で必要となる権限です。
- DoiT の Insights が Kubernetes クラスタと連携し、アクション可能な推奨事項を提供できるようにする
- Kubernetes Intelligence を利用するために GKE クラスタをオンボーディングする
Google Kubernetes Engine (GKE): API permissions も参照してください。
Access level: Organization, Project
| Permission | Description |
|---|---|
container.clusters.get | 特定の GKE クラスタに関する情報を取得します。 |
container.clusters.list | 指定したプロジェクト内のすべての GKE クラスタを一覧表示します。 |
container.clusters.connect | GKE クラスタに接続します。Kubernetes API サーバーに接続するために必要です。Authenticate to the Kubernetes API server も参照してください。 |
Real-time anomalies – GCE
DoiT の Google Compute Engine 向けリアルタイムコストアノマリー検出 では、コストスパイクをほぼリアルタイムで監視するために次の権限が必要です。
Access level: Organization
| Permission | Description |
|---|---|
logging.sinks.create | ログシンクを作成します。 |
logging.sinks.get | ログシンクが正しく構成されているか確認します。 |
logging.sinks.update | 構成ミスが検出された場合にログシンクを更新します。 |
compute.machineTypes.get | コストアノマリー検出の評価のために、インスタンスのマシンタイプのメタデータを取得します。 |
Real-time anomalies – BigQuery
DoiT の BigQuery 向けリアルタイムコストアノマリー検出 では、コストスパイクをほぼリアルタイムで監視するために次の権限が必要です。
Access level: Project
| Permission | Description |
|---|---|
bigquery.jobs.create | プロジェクト内でジョブ(クエリを含む)を実行します。スロット予約に対するアノマリー検出に必要な権限です。 |
bigquery.jobs.get | 特定のジョブについて�、ジョブステータスやメタデータなどの情報を返します。 |
bigquery.jobs.list | 指定したプロジェクトで自分が開始したすべてのジョブを一覧表示します。 |
bigquery.jobs.listAll | 指定したプロジェクト内のすべてのユーザーのジョブを一覧表示します。 |
bigquery.reservations.get | 特定の BigQuery スロット予約リソースの構成と詳細を返します。 |
bigquery.reservations.list | 指定したプロジェクト内のすべての BigQuery スロット予約と関連メタデータを一覧表示します。 |
monitoring.timeSeries.list | メトリクスの時系列データを返します。 |
monitoring.metricDescriptors.get | メトリクス記述子(メトリクス自体に関する情報)を返します。 |
Amazon Web Services
以下のセクションでは、お客様の AWS アカウントに対して必要となる権限を一覧で示します。
Core functionality
DoiT Platform の機能に必要な、読み取り専用権限の最小セットは以下のとおりです。これらの権限は、AWS アカウントの請求データとセキュリティポスチャーへアクセスするために必要です(cross-account AWS IAM Role も参照してください)。
| Permission | Description |
|---|---|
arn:aws:iam::aws:policy/SecurityAudit | AWS 管理ポリシー。SecurityAudit テンプレートは、セキュリティ構成メタデータの読み取りアクセスを許可します。 |
arn:aws:iam::aws:policy/AWSSavingsPlansReadOnlyAccess | AWS 管理ポリシー。このポリシーは Savings Plans サービスへの読み取り専用アクセスを許可します。 |
arn:aws:iam::aws:policy/job-function/Billing | AWS 管理ポリシー。このポリシーは請求・コスト・支払い方法・予算・レポートの管理に対するフル権限を付与します。 |
Ava read-only
特定のアカウントに対して、Ava がコンテキスト情報を加味した詳細なインサイトを安全に生成できるようにするために必要な権限は、Latest AWS Cloud Formation Stack template for support に記載されています。
AWS quota monitoring
AWS Quotas を監視 するために事前に必要となる権限です。
support:DescribeTrustedAdvisorCheckSummaries
support:DescribeTrustedAdvisorCheckRefreshStatuses
support:DescribeTrustedAdvisorChecks
support:DescribeSeverityLevels
support:RefreshTrustedAdvisorCheck
support:DescribeSupportLevel
support:DescribeCommunications
support:DescribeServices
support:DescribeIssueTypes
support:DescribeTrustedAdvisorCheckResult
trustedadvisor:DescribeNotificationPreferences
trustedadvisor:DescribeCheckRefreshStatuses
trustedadvisor:DescribeCheckItems
trustedadvisor:DescribeAccount
trustedadvisor:DescribeAccountAccess
trustedadvisor:DescribeChecks
trustedadvisor:DescribeCheckSummaries
Cloud Diagrams
Cloud Diagrams は、AWS アカウントの AWS クラウドインフラストラクチャのダイアグラムを生成します。
| Permission | Description |
|---|---|
apigateway:GET | 特定のゲートウェイを取得します。 |
ec2:SearchTransitGatewayRoutes | 指定したトランジットゲートウェイルートテーブル内のルートを検索します。 |
eks:ListTagsForResource | Amazon EKS リソースのタグを一覧表示します。 |
eks:ListFargateProfiles | 指定した地域内の AWS アカウントで、指定したクラスターに関連付けられている AWS Fargate プロファイルを一覧表示します。 |
eks:DescribeFargateProfile | AWS Fargate プロファイルを削除します。 |
elasticfilesystem:DescribeTags | ファイルシステムに関連付けられているタグを返します。 |
glacier:ListTagsForVault | ボールトに付与されているすべてのタグを一覧表示します。 |
glacier:GetVaultNotifications | ボールトに設定されている通知設定サブリソースを取得します。 |
glue:GetConnections | Data Catalog から接続定義のリストを取得します。 |
glue:GetCrawler | 指定したクローラーのメタデータを取得します。 |
glue:GetDatabase | 指定したデータベースの定義を取得します。 |
health:DescribeEventDetails | 1 つ以上の指定されたイベントの詳細情報を返します。 |
networkmanager:Get* | ネットワークパフォーマンスデータを取得します。 |
networkmanager:List* | ネットワークパフォーマンスデータを一覧表示します。 |
ram:GetResourceSharest* | 自分が所有している、または共有を受けているリソース共有の詳細を取得します。 |
wafv2:GetLoggingConfiguration | 指定した Web ACL の LoggingConfiguration を返します。 |
wafv2:GetRuleGroup | 指定した RuleGroup を取得します。 |
waf:GetLoggingConfiguration | 指定した Web ACL の LoggingConfiguration を返します。 |
waf-regional:GetLoggingConfiguration | 指定した Web ACL の LoggingConfiguration を返します。 |
eks:ListAccessPolicies | 利用可能なアクセスポリシーを一覧表示します。 |
eks:ListAccessEntries | クラスターのアクセスエントリを一覧表示します。 |
eks:DescribeCluster | Amazon EKS クラスターを説明します。 |
eks:ListClusters | 指定した AWS Region の AWS アカウント内の Amazon EKS クラスターを一覧表示します。 |
Cost Optimization Hub insights
DoiT の Insights が AWS Cost Optimization Hub API と連携するには、次の権限が必要です。
| Permission | Description |
|---|---|
cost-optimization-hub:ListRecommendations | 推奨事項のリストを返します。 |
Composer
Composer がインフラストラクチャを分析し、ダイアグラムを生成できるようにするために必要な権限です。
access-analyzer:Get*
access-analyzer:List*
account:Get*
account:List*
acm:Describe*
acm:Get*
acm:List*
amplify:Get*
amplify:List*
apigateway:Get*
apigateway:List*
application-autoscaling:Describe*
application-autoscaling:Get*
application-autoscaling:List*
autoscaling:Describe*
autoscaling:Get*
athena:Get*
athena:List*
backup:Describe*
backup:Get*
backup:List*
bedrock:Get*
bedrock:List*
cloudformation:Describe*
cloudformation:Get*
cloudformation:List*
cloudfront:Describe*
cloudfront:Get*
cloudfront:List*
cloudsearch:Describe*
cloudsearch:List*
cloudtrail:Describe*
cloudtrail:Get*
cloudtrail:List*
cloudtrail:lookupEvents
cloudwatch:Describe*
cloudwatch:Get*
cloudwatch:List*
codebuild:Describe*
codebuild:Get*
codebuild:List*
cognito-identity:Describe*
cognito-identity:Get*
cognito-identity:List*
cognito-idp:Describe*
cognito-idp:Get*
cognito-idp:List*
cognito-sync:Describe*
cognito-sync:Get*
cognito-sync:List*
comprehend:Describe*
comprehend:List*
datapipeline:Describe*
datapipeline:Get*
datapipeline:List*
config:Describe*
config:Get*
config:List*
dax:Describe*
dax:Get*
dax:List*
directconnect:Describe*
directconnect:List*
discovery:Describe*
discovery:Get*
discovery:List*
dms:Describe*
dms:List*
ds:Describe*
ds:Get*
ds:List*
dynamodb:Describe*
dynamodb:Get*
dynamodb:List*
ebs:Get*
ebs:List*
ec2:Describe*
ecr:BatchGetImage
ec2:Get*
ec2:List*
ecr:Describe*
ecr:Get*
ecr:List*
ecs:Describe*
ecs:Get*
ecs:List*
eks:Describe*
eks:List*
elasticache:Describe*
elasticache:List*
elasticbeanstalk:Describe*
elasticbeanstalk:List*
elasticfilesystem:Describe*
elasticfilesystem:List*
elasticloadbalancing:Describe*
elasticloadbalancing:Get*
elasticmapreduce:Describe*
elasticmapreduce:Get*
elasticmapreduce:List*
es:Describe*
es:Get*
es:List*
events:Describe*
events:List*
firehose:Describe*
firehose:List*
glacier:Describe*
glacier:Get*
glacier:List*
glue:Describe*
glue:Get*
glue:List*
guardduty:Describe*
guardduty:Get*
guardduty:Get*
guardduty:List*
guardduty:List*
iam:GenerateCredentialReport
iam:Get*
iam:List*
inspector:Describe*
inspector:Get*
inspector:List*
iot:Describe*
iot:Get*
iot:List*
kafka:Describe*
kafka:Get*
kafka:List*
kinesis:Describe*
kinesis:Get*
kinesis:List*
kinesisanalytics:Describe*
kinesisanalytics:Get*
kinesisanalytics:List*
kinesisvideo:Describe*
kinesisvideo:Get*
kinesisvideo:List*
kms:Decrypt
kms:Describe*
kms:Get*
kms:List*
lambda:Get*
lambda:List*
logs:Filter*
logs:Get*
logs:List*
mq:Describe*
mq:List*
networkmanager:Describe*
networkmanager:Get*
networkmanager:List*
opsworks:Describe*
opsworks:Get*
opsworks:List*
organizations:Describe*
organizations:List*
rds:Describe*
rds:List*
redshift:Describe*
redshift:Get*
redshift:List*
rekognition:Describe*
rekognition:Get*
rekognition:List*
resource-groups:Get*
resource-groups:List*
route53:Get*
route53:List*
route53domains:Get*
route53domains:List*
route53resolver:Get*
route53resolver:List*
s3:Describe*
s3:Get*
s3:List*
sagemaker:Describe*
sagemaker:Get*
sagemaker:List*
secretsmanager:Describe*
secretsmanager:Get*
secretsmanager:GetResourcePolicy
secretsmanager:List*
servicediscovery:Get*
servicediscovery:List*
servicequotas:Get*
servicequotas:List*
ses:Describe*
ses:Get*
ses:List*
sns:Get*
sns:List*
sqs:Get*
sqs:List*
ssm:Describe*
ssm:Get*
ssm:List*
ssm:SendCommand
states:Describe*
states:Get*
states:List*
storagegateway:Describe*
storagegateway:List*
tag:Describe*
tag:Get*
transfer:Describe*
transfer:List*
waf-regional:Get*
waf-regional:List*
waf:Get*
waf:List*
wafv2:Describe*
wafv2:Get*
wafv2:List*
workspaces:Describe*
workspaces:Get*
workspaces:List*
xray:Get*
xray:List*
Kubernetes core
Kubernetes Intelligence を利用するために EKS クラスターをオンボーディングする際に必要な権限です。
| Permission | Description |
|---|---|
eks:ListAccessPolicies | 利用可能なアクセスポリシーを一覧表示します。 |
eks:ListAccessEntries | クラスターのアクセスエントリを一覧表示します。 |
eks:DescribeCluster | Amazon EKS クラスターを説明します。 |
eks:ListClusters | 指定した AWS Region の AWS アカウント内の Amazon EKS クラスターを一覧表示します。 |
PerfectScale for Commitments
PerfectScale for Commitments は、Savings Plans を利用して AWS のコンピュートコミットメントを管理・自動化します。権限は 2 つの機能グループに分かれています。
-
PerfectScale for Commitments - Read & Recommend
可視化および推奨機能に必要な権限です。
savingsplans:DescribeSavingsPlans
savingsplans:DescribeSavingsPlanRates
savingsplans:DescribeSavingsPlansOfferingRates
savingsplans:DescribeSavingsPlansOfferings
savingsplans:ListTagsForResource
ce:DescribeCostCategoryDefinition
ce:StartCommitmentPurchaseAnalysis
ce:ListCommitmentPurchaseAnalyses
ce:GetCommitmentPurchaseAnalysis
ce:ListCostCategoryDefinitions -
PerfectScale for Commitments - Purchases
自動購入機能を有効にするために追加で必要な権限です。
savingsplans:DescribeSavingsPlans
savingsplans:DescribeSavingsPlanRates
savingsplans:DescribeSavingsPlansOfferingRates
savingsplans:DescribeSavingsPlansOfferings
savingsplans:ListTagsForResource
ce:DescribeCostCategoryDefinition
ce:StartCommitmentPurchaseAnalysis
ce:ListCommitmentPurchaseAnalyses
ce:GetCommitmentPurchaseAnalysis
ce:ListCostCategoryDefinitions
savingsplans: プレフィックスは AWS Savings Plans を指し、ce: プレフィックスは AWS Cost Explorer を指します。
PerfectScale for Spot
PerfectScale for Spot は、コストと使用状況に基づいて Auto Scaling Groups を分析し、オンデマンド EC2 インスタンスを Spot Instances に置き換えるための推奨事項を提供します。
ec2:Describe*
ec2:CreateLaunchTemplate
ec2:CreateLaunchTemplateVersion
ec2:ModifyLaunchTemplate
ec2:RunInstances
ec2:TerminateInstances
ec2:CreateTags
ec2:DeleteTags
ec2:CreateLaunchTemplateVersion
ec2:CancelSpotInstanceRequests
autoscaling:CreateOrUpdateTags
autoscaling:UpdateAutoScalingGroup
autoscaling:Describe*
autoscaling:AttachInstances
autoscaling:BatchDeleteScheduledAction
autoscaling:BatchPutScheduledUpdateGroupAction
cloudformation:ListStacks
cloudformation:Describe*
iam:PassRole
events:PutRule
events:PutTargets
events:PutEvents
Real-time anomalies
DoiT の real-time cost anomaly detection for AWS が、ほぼリアルタイムでコストスパイクを監視するには、次の権限が必要です。
| Permission | Description |
|---|---|
ec2:DescribeImages | AWS アカウントが所有するプライベートイメージ内の EC2 インスタンス属性情報を取得するために必要な権限です。 |
kms:Decrypt | KMS キーで暗号化された暗号文を復号します。 |
s3:GetBucketLocation | Create an IAM role automatically を行う場合にのみ必要です。bucket が存在する Region を返します。 |
s3:GetBucketNotification | bucket の通知設定を返します。 |
s3:GetObject | Amazon S3 からオブジェクトを取得します。 |
s3:ListBucket | Amazon S3 の ListObjectsV2 オペレーションの使用を許可します。詳細は Policies and permissions in Amazon S3 を参照してください。 |
s3:PutBucketNotification | Create an IAM role automatically を行う場合にのみ必要です。bucket に対して指定したイベントの通知を有効にします。 |
ec2:DescribeInstances | EC2 インスタンスを説明します。 |
Security Hub insights
DoiT の Insights が AWS Security Hub API と連携するには、次の権限が必要です。
| Permission | Description |
|---|---|
securityhub:GetFindings | 指定した条件に一致する検出結果のリストを返します。 |
Trusted Advisor insights
DoiT の Insights が AWS Trusted Advisor API と連携するには、次の権限が必要です。
| Permission | Description |
|---|---|
trustedadvisor:GetRecommendation | 特定のグローバル推奨事項を取得します。 |
trustedadvisor:ListRecommendations | 絞り込み可能なグローバル推奨事項のセットを一覧表示します。 |
trustedadvisor:ListRecommendationResources | グローバル推奨事項に関連付けられたリソースを一覧表示します。 |
Microsoft Azure
DoiT の Insights と Composer には、次の権限が必要です。Connect Azure tenants を参照してください。
| 権限 | 説明 |
|---|---|
| Management Group/Reader | 既存の Management Group 階層設定を一覧表示します。 |