メインコンテンツへスキップ

セキュリティとデータアクセスのポリシー

このページでは、以下について説明します。

  • DoiT プラットフォームがどの顧客データにアクセスするか、その理由、どのようなデータをどのように保存するか

  • DoiT コンソールで特定の機能を有効にするために必要な権限

プライバシーとデータ保護

保存するもの

DoiT プラットフォームの機能に必要なデータのみを保存します。

  • Cloud Billing exports — コアとなる請求機能に必須。BigQuery に保存

  • ユーザー情報 — コアとなる DoiT プラットフォーム機能に必須。Firestore に保存

  • DoiT コンソールを使用して作成された資産請求書請求プロファイル など)— コアとなる DoiT プラットフォーム機能に必須。Firestore に保存

  • 契約 — コアとなる DoiT プラットフォーム機能に必須。Google Cloud Storage に保存

  • サービスアカウントキー — BigQuery Intelligence に必須。Firestore に保存し、KMS で暗号化

データの取り扱いと保存方法

取り扱うすべてのデータは、HTTPS(TLS)などの業界標準プロトコルを使用して、転送中に暗号化されます。

保存するすべてのデータは保存時に暗号化されます。

  • Google BigQuery — Google 管理の暗号鍵と Advanced Encryption Standard(AES)を使用

  • Google Firestore — Google 管理の暗号鍵と AES を使用

  • Google Cloud Storage — Google 管理の暗号鍵と AES を使用

  • サービスアカウントキー — Google Cloud KMS を使用して暗号化され、Google Secret Manager に保存

データにアクセスできる人

アカウントマネージャーやサポートエンジニアなどのカスタマー向けロールの DoiT 従業員は、DoiT プラットフォーム内のお客様のデータにアクセスできます。少数のコア DoiT プラットフォーム開発チームは、基盤となるストレージ内のデータに直接アクセスできます。

サービスアカウントキーは、バックエンドシステムのみが Google Cloud から関連データを取得する目的で使用します。KMS キーにアクセスできるのは、少数のコア DoiT プラットフォーム開発チームのみです。

サードパーティ

以下に示す、コアとなる DoiT プラットフォーム機能に必須の例外を除き、データをサードパーティに提供することはありません。

  • DoiT プラットフォームサポート — エキスパートへ問い合わせシステムのバックエンドとして Zendesk を使用しています。問い合わせ関連データは Zendesk に保存され、Zendesk API を使用して取得されます〔1〕。

  • 支払い — 決済には Stripe を使用しています。支払い関連データ(クレジットカードまたは銀行口座の詳細など)はすべて Stripe プラットフォームに保存され、Stripe API を通じて利用されます〔2〕。

コンプライアンス

当社のプロダクトは、セキュリティ・プライバシー・コンプライアンス管理について、定期的に第三者による検証を受け、グローバルな標準に基づく認証を取得しています。また、対象範囲の拡大に継続的に取り組んでいます。

  • EU および GDPR 準拠 — 当社には欧州経済領域(EEA)の顧客がおり、一般データ保護規則(GDPR)〔3〕に準拠してデータを取り扱っています。

  • SOC 2 および SOC 3 は、American Institute of Certified Public Accountants(AICPA)の Auditing Standards Board が定める既存の Trust Services Criteria(TSC)に基づくレポートです。このレポートは、セキュリティ、可用性、処理の完全性、機密性、およびプライバシーに関連する組織の情報システムを評価します。

  • ISO/IEC 27001 は、情報セキュリティマネジメントシステム(ISMS)の要件を定めるとともに、ベストプラクティスのセットを規定し、情報リスクの管理に役立つセキュリティ管理策を詳細に示します。

DoiT プラットフォームの ISO/IEC 27001 および SOC 2/3 証明書は、trust.doit.com からリクエストすることができます。

外部参照

Ava のセキュリティコンプライアンス

当社の生成 AI チャットボットである Ava は、顧客データの機密性、完全性、および可用性を確保するために、最高レベルのセキュリティ対策を備えて設計されています。

GenAI 組織サブスクリプション

当社の組織は GenAI のエンタープライズサブスクリプションを契約しており、追加のセキュリティ層と制御機能を利用しています。

  • 強化されたセキュリティ対策: エンタープライズ契約者専用の追加セキュリティプロトコル。

  • 専用のデータハブ: Ava によって処理されるすべてのデータは、プライベートで安全なデータハブに保存され、権限のない第三者がアクセスしたり漏洩したりすることがないようにしています。さらに、当社は GenAI のトレーニング目的でデータを提出することは決してありません。

顧客データの取り扱い

請求データ

Cloud Analytics(クラウド分析)レポートを生成するために以下を行います。

  • 認証要件: 請求データにアクセスし生成できるのは、当社の安全な認証システムを通じてログインしている顧客のみです。

  • API セキュリティ: データが安全に処理され、権限のないユーザーに侵害またはアクセスされないことを保証する、既存の Cloud Analytics API を活用しています。

顧客コンテキストと資産管理

顧客固有のコンテキスト、資産、および一般情報に対しては、以下を行います。

  • ベクターデータベースの利用: 顧客の利用状況と関連性に基づき、顧客データを安全に保存・埋め込みするためにベクターデータベースを使用します。

  • データの分割: 強固なフィルタリングメカニズムにより各顧客のデータを分離し、顧客同士が互いのデータにアクセスまたは閲覧できないようにします。

これらのセキュリティ運用に準拠することで、Ava はすべての顧客データを最高水準のセキュリティで取り扱い、権限のないアクセスを防止し、あらゆるオペレーションにおいてデータの完全性を維持します。

機能ごとの権限

Google Cloud

コア機能

以下は、DoiT プラットフォームに必要な読み取り専用権限の最小セットです。

アクセスレベル: Organization、Project

Google Cloud のリソース階層に関する情報を取得し、請求データと相関させるための権限:

resourcemanager.projects.get
compute.addresses.list
compute.disks.get
compute.disks.list
compute.images.get
compute.images.list
compute.instances.get
compute.instances.list
compute.projects.get
compute.regions.get
compute.regions.list
compute.snapshots.get
compute.snapshots.list
compute.zones.get
compute.zones.list
compute.commitments.get
compute.commitments.list

Google Cloud API(例: Recommender API)のステータスを確認し(必要に応じて有効化する)ための権限:

serviceusage.services.enable
serviceusage.services.get
serviceusage.services.list
serviceusage.services.use

アクセスレベル: Organization のみ

resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.projects.list

アクセスレベル: Project のみ

resourcemanager.projects.getIamPolicy

Ava 閲覧専用

アクセスレベル: Organization、Project

Ava が、Google Cloud 環境全体のデータを開示することなく、特定の選択された Organization または Project に対して、コンテキストを加味した詳細なインサイトを安全に生成できるようにするために必要な権限です。

compute.instanceGroups.get
compute.instanceGroupManagers.get
compute.routers.gets
compute.machineTypes.get
bigquery.tables.get
bigquery.tables.list
bigquery.datasets.get
bigquery.jobs.get
bigquery.jobs.list
bigquery.jobs.listAll
bigquery.capacityCommitments.get
bigquery.capacityCommitments.list
bigquery.reservations.get
bigquery.reservations.list
bigquery.reservationAssignments.list
bigquery.reservationAssignments.search
storage.buckets.get
storage.buckets.list
storage.buckets.getIamPolicy
storage.objects.getIamPolicy
cloudsql.instances.get
cloudsql.instances.list
dns.resourceRecordSets.list
cloudfunctions.functions.get
cloudfunctions.functions.list
cloudfunctions.operations.get
cloudfunctions.operations.list
cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.operations.get
cloudbuild.operations.list
pubsub.topics.get
pubsub.topics.list
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.schemas.get
pubsub.schemas.list
logging.logs.list
logging.sinks.get
logging.sinks.list
logging.exclusions.get
logging.exclusions.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
monitoring.groups.get
monitoring.groups.list
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.services.get
monitoring.services.list
monitoring.slos.get
monitoring.slos.list
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
cloudasset.assets.listResource
cloudasset.assets.searchAllResources
cloudasset.operations.list
securitycenter.assets.get
vpcaccess.connectors.get
vpcaccess.connectors.list
vpcaccess.operations.get
vpcaccess.operations.list
iam.roles.get
iam.roles.list
iam.serviceAccounts.get
iam.serviceAccounts.list
iam.workloadIdentityPools.get
iam.workloadIdentityPools.list
iam.workloadIdentityPoolProviders.get
iam.workloadIdentityPoolProviders.list
errorreporting.errorEvents.list

BigQuery Intelligence

アクセスレベル: Organization のみ

BigQuery Intelligence が Organization レベルの権限を必要とする理由

BigQuery Intelligence は、プロジェクト全体のログを監視および分析するために、Organization レベルで監査ログシンクを作成します。Project レベルのシンクからログを取得することはサポートしていません。

これらの権限により、BigQuery Intelligence はプロジェクト・データセット・テーブルの「構造」にアクセスし、リソース名と共にダッシュボード上でコストと最適化の推奨事項を表示できるようになります。これらの権限によって、お客様の BigQuery データそのものにアクセスすることはありません。

BigQuery Intelligence の権限は、いくつかのカテゴリに分かれています。

BigQuery Intelligence

BigQuery 環境のコスト最適化の推奨事項を取得するために必要な権限:

Permission説明
bigquery.datasets.create新しい空のデータセットを作成。
bigquery.datasets.getデータセットのメタデータと権限を取得。
bigquery.tables.getテーブルのメタデータを取得。
bigquery.tables.listテーブルとそのメタデータを一覧表示。
bigquery.jobs.get任意のジョブのデータとメタデータを取得。
bigquery.jobs.listすべてのジョブを一覧表示し、任意のユーザーが送信したジョブのメタデータを取得。ほかのユーザーが送信したジョブの詳細とメタデータはマスクされます。
bigquery.jobs.listAllすべてのジョブを一覧表示し、任意のユーザーが送信したジョブのメタデータを取得。
bigquery.jobs.createプロジェクト内でジョブ(クエリを含む)を実行。
bigquery.routines.listルーチンとそのメタデータを一覧表示。
bigquery.routines.getルーチン定義とメタデータを取得。
logging.sinks.createCloud Logging に新しいシンクを作成。
logging.sinks.getCloud Logging 内のシンクに関する情報を取得。
BigQuery Intelligence Editions

BigQuery Intelligence が Google BigQuery editions と連携して動作するために必要な追加権限です。

PermissionDescription
bigquery.capacityCommitments.listプロジェクト内の現在のすべてのキャパシティコミットメントについて、INFORMATION_SCHEMA.CAPACITY_COMMITMENTS ビュー をクエリします。
bigquery.capacityCommitments.getプロジェクト内のキャパシティコミットメントを取得します。
bigquery.reservations.listプロジェクト内のすべてのスロット予約の一覧を取得するために、INFORMATION_SCHEMA.RESERVATIONS ビュー をクエリします。
bigquery.reservations.getスロット予約の詳細を取得します。
bigquery.reservationAssignments.listプロジェクト内のすべての予約割り当てについて、INFORMATION_SCHEMA.ASSIGNMENTS ビュー をクエリします。
bigquery.reservationAssignments.search指定されたプロジェクト、フォルダ、または組織の予約割り当てを検索します。
BigQuery Intelligence Insights

追加の BigQuery Intelligence のインサイトを取得するために必要な権限です。

PermissionDescription
recommender.bigqueryCapacityCommitmentsInsights.get
recommender.bigqueryCapacityCommitmentsInsights.list
recommender.bigqueryCapacityCommitmentsRecommendations.get
recommender.bigqueryCapacityCommitmentsRecommendations.list
コスト最適なコミットメントスロットに関する推奨事項へアクセスします。
recommender.bigqueryMaterializedViewInsights.get
recommender.bigqueryMaterializedViewInsights.list
recommender.bigqueryMaterializedViewRecommendations.get
recommender.bigqueryMaterializedViewRecommendations.list
マテリアライズドビューの推奨事項へアクセスします。
recommender.bigqueryPartitionClusterRecommendations.get
recommender.bigqueryPartitionClusterRecommendations.list
recommender.bigqueryTableStatsInsights.get
recommender.bigqueryTableStatsInsights.list
パーティションおよびクラスタに関する推奨事項へアクセスします。

Cloud Diagrams

アクセスレベル: Organization, Project

Google Cloud 環境向けに Cloud Diagrams を作成するために必要な権限です。

cloudasset.assets.listResource
cloudasset.assets.searchAllResources
compute.instanceGroups.get
compute.instanceGroupManagers.get
compute.routers.get
dns.resourceRecordSets.list

Composer

アクセスレベル: Project

Composer がインフラストラクチャを分析し、ダイアグラムを生成できるようにするために必要な権限です。

artifactregistry.dockerimages.list
artifactregistry.locations.list
artifactregistry.repositories.list
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.tables.list
cloudfunctions.functions.getIamPolicy
cloudfunctions.functions.list
cloudkms.cryptoKeys.list
cloudkms.keyRings.list
cloudsql.instances.list
compute.addresses.list
compute.autoscalers.list
compute.backendBuckets.list
compute.backendServices.list
compute.disks.list
compute.firewallPolicies.list
compute.firewalls.list
compute.forwardingRules.list
compute.images.list
compute.instanceGroups.list
compute.instances.getIamPolicy
compute.instances.list
compute.networks.list
compute.projects.get
compute.regions.list
compute.subnetworks.list
compute.zones.list
container.clusters.list
dataflow.jobs.list
dataproc.clusters.list
dns.managedZones.getIamPolicy
dns.managedZones.list
iam.serviceAccountKeys.list
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.list
pubsub.subscriptions.list
pubsub.topics.list
redis.instances.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
storage.buckets.getIamPolicy
storage.buckets.list

Google Cloud Rightsizing

アクセスレベル: Organization のみ

組織全体の Google Compute Engine インスタンスに対して、Rightsizing の推奨事項を提供するために必要な権限です。

recommender.computeInstanceMachineTypeRecommendations.list
compute.instances.list

Rightsizing の推奨事項を実装するために必要な権限です。

compute.instances.setMachineType
compute.instances.stop
compute.instances.start

Insights from BigQuery export

GCP Recommender の BigQuery エクスポートからインサイトを得るためにデータセットを接続する際に必要な権限は次のとおりです。

アクセスレベル: Project

PermissionDescription
bigquery.jobs.createプロジェクト内でジョブ (クエリを含む) を実行します。

アクセスレベル: Dataset

PermissionDescription
bigquery.tables.getテーブルメタデータを取得します。
bigquery.tables.listテーブルおよびテーブルメタデータの一覧を取得します。
bigquery.tables.getDataテーブルデータを取得します。この権限はテーブルデータをクエリするために必要です。

Kubernetes core

以下の目的で必要な権限です。

  • DoiT のインサイトが Kubernetes クラスタと連携し、実行可能な推奨事項を提供できるようにする
  • Kubernetes Intelligence を利用するために GKE クラスタをオンボーディングする

Google Kubernetes Engine (GKE): API permissions も参照してください。

アクセスレベル: Organization, Project

PermissionDescription
container.clusters.get特定の GKE クラスタに関する情報を取得します。
container.clusters.list特定のプロジェクト内のすべての GKE クラスタを一覧表示します。
container.clusters.connectGKE クラスタに接続します。これは Kubernetes API サーバーに接続するために必要です。Kubernetes API server への認証も参照してください。

Real-time anomalies – GCE

DoiT のGoogle Compute Engine 向けリアルタイムコストアノマリー検知では、コストスパイクをほぼリアルタイムで監視するために以下の権限が必要です。

アクセスレベル: Organization

PermissionDescription
logging.sinks.createログシンクを作成します。
logging.sinks.getログシンクが正しく構成されているかを確認します。
logging.sinks.update誤った構成が検出された場合にログシンクを更新します。
compute.machineTypes.getコストアノマリー検知の評価のために、インスタンスのマシンタイプメタデータを取得します。

Real-time anomalies – BigQuery

DoiT のBigQuery 向けリアルタイムコストアノマリー検知では、コストスパイクをほぼリアルタイムで監視するために以下の権限が必要です。

アクセスレベル: Project

PermissionDescription
bigquery.jobs.createプロジェクト内でジョブ (クエリを含む) を実行します。この権限はスロット予約に対するアノマリー検知に必要です。
bigquery.jobs.getジョブステータスやメタデータなど、特定のジョブに関する情報を返します。
bigquery.jobs.list指定したプロジェクト内で自分が開始したすべてのジョブを一覧表示します。
bigquery.jobs.listAll指定したプロジェクト内のすべてのユーザーのジョブを一覧表示します。
bigquery.reservations.get特定の BigQuery スロット予約リソースの構成と詳細を返します。
bigquery.reservations.list指定したプロジェクト内のすべての BigQuery スロット予約と関連メタデータを一覧表示します。
monitoring.timeSeries.listメトリクスの時系列データを返します。
monitoring.metricDescriptors.getメトリクス自体に関する情報であるメトリック記述子を返します。

Amazon Web Services

以下のセクションでは、AWS アカウントに対して必要となる権限を示します。

Core functionality

コア権限は 3 つの AWS マネージドポリシーと、Cloud Intelligence プランに含まれる他の DoiT 機能で必要となる読み取り専用権限で構成されます。

以下は、AWS アカウントの請求データおよびセキュリティ姿勢にアクセスするために必要なマネージドポリシーです (cross-account AWS IAM Role も参照してください)。

PermissionDescription
arn:aws:iam::aws:policy/SecurityAuditAWS マネージドポリシー。SecurityAudit テンプレートは、セキュリティ構成メタデータの読み取りアクセスを許可します。
arn:aws:iam::aws:policy/AWSSavingsPlansReadOnlyAccessAWS マネージドポリシー。このポリシーは Savings Plans サービスへの読み取り専用アクセスを許可します。
arn:aws:iam::aws:policy/job-function/BillingAWS マネージドポリシー。このポリシーは請求、コスト、支払い方法、予算、およびレポートの管理に関するフル権限を許可します。

Ava read-only

特定のアカウントに対して、Ava がコンテキスト化された詳細なインサイトを安全に生成できるようにするために必要な権限は、Latest AWS Cloud Formation Stack template for support に記載されています。

AWS quota monitoring

AWS Quotas をプロアクティブに監視するために必要な権限です。

support:DescribeTrustedAdvisorCheckSummaries
support:DescribeTrustedAdvisorCheckRefreshStatuses
support:DescribeTrustedAdvisorChecks
support:DescribeSeverityLevels
support:RefreshTrustedAdvisorCheck
support:DescribeSupportLevel
support:DescribeCommunications
support:DescribeServices
support:DescribeIssueTypes
support:DescribeTrustedAdvisorCheckResult
trustedadvisor:DescribeNotificationPreferences
trustedadvisor:DescribeCheckRefreshStatuses
trustedadvisor:DescribeCheckItems
trustedadvisor:DescribeAccount
trustedadvisor:DescribeAccountAccess
trustedadvisor:DescribeChecks
trustedadvisor:DescribeCheckSummaries

Cloud Diagrams

Cloud Diagrams は、AWS アカウントの AWS クラウドインフラストラクチャのダイアグラムを生成します。

PermissionDescription
apigateway:GET特定のゲートウェイを取得します。
ec2:SearchTransitGatewayRoutes指定したトランジットゲートウェイルートテーブル内のルートを検索します。
eks:ListTagsForResourceAmazon EKS リソースに設定されているタグを一覧表示します。
eks:ListFargateProfiles指定したリージョンの AWS アカウント内で、指定したクラスターに関連付けられている AWS Fargate プロファイルを一覧表示します。
eks:DescribeFargateProfileAWS Fargate プロファイルを削除します。
elasticfilesystem:DescribeTagsファイルシステムに関連付けられているタグを返します。
glacier:ListTagsForVaultボールトに付与されているすべてのタグを一覧表示します。
glacier:GetVaultNotificationsボールトに設定されている通知設定サブリソースを取得します。
glue:GetConnectionsData Catalog から接続定義の一覧を取得します。
glue:GetCrawler指定したクローラーのメタデータを取得します。
glue:GetDatabase指定したデータベースの定義を取得します。
health:DescribeEventDetails1 つ以上の指定したイベントに関する詳細情報を返します。
networkmanager:Get*ネットワークパフォーマンスデータを取得します。
networkmanager:List*ネットワークパフォーマンスデータを一覧表示します。
ram:GetResourceSharest*自分が所有している、または共有を受けているリソースシェアの詳細を取得します。
wafv2:GetLoggingConfiguration指定した Web ACL の LoggingConfiguration を返します。
wafv2:GetRuleGroup指定した RuleGroup を取得します。
waf:GetLoggingConfiguration指定した Web ACL の LoggingConfiguration を返します。
waf-regional:GetLoggingConfiguration指定した Web ACL の LoggingConfiguration を返します。
eks:ListAccessPolicies利用可能なアクセスポリシーを一覧表示します。
eks:ListAccessEntriesクラスターのアクセスエントリを一覧表示します。
eks:DescribeClusterAmazon EKS クラスターを説明します。
eks:ListClusters指定した AWS リージョンにある AWS アカウントの Amazon EKS クラスターを一覧表示します。

Cost Optimization Hub insights

DoiT の Insights が AWS Cost Optimization Hub API と連携するには、次の権限が必要です。

PermissionDescription
cost-optimization-hub:ListRecommendations推奨事項の一覧を返します。

Composer

Composer がインフラストラクチャを分析し、ダイアグラムを生成できるようにするために必要な権限です。

access-analyzer:Get*
access-analyzer:List*
account:Get*
account:List*
acm:Describe*
acm:Get*
acm:List*
amplify:Get*
amplify:List*
apigateway:Get*
apigateway:List*
application-autoscaling:Describe*
application-autoscaling:Get*
application-autoscaling:List*
autoscaling:Describe*
autoscaling:Get*
athena:Get*
athena:List*
backup:Describe*
backup:Get*
backup:List*
bedrock:Get*
bedrock:List*
cloudformation:Describe*
cloudformation:Get*
cloudformation:List*
cloudfront:Describe*
cloudfront:Get*
cloudfront:List*
cloudsearch:Describe*
cloudsearch:List*
cloudtrail:Describe*
cloudtrail:Get*
cloudtrail:List*
cloudtrail:lookupEvents
cloudwatch:Describe*
cloudwatch:Get*
cloudwatch:List*
codebuild:Describe*
codebuild:Get*
codebuild:List*
cognito-identity:Describe*
cognito-identity:Get*
cognito-identity:List*
cognito-idp:Describe*
cognito-idp:Get*
cognito-idp:List*
cognito-sync:Describe*
cognito-sync:Get*
cognito-sync:List*
comprehend:Describe*
comprehend:List*
datapipeline:Describe*
datapipeline:Get*
datapipeline:List*
config:Describe*
config:Get*
config:List*
dax:Describe*
dax:Get*
dax:List*
directconnect:Describe*
directconnect:List*
discovery:Describe*
discovery:Get*
discovery:List*
dms:Describe*
dms:List*
ds:Describe*
ds:Get*
ds:List*
dynamodb:Describe*
dynamodb:Get*
dynamodb:List*
ebs:Get*
ebs:List*
ec2:Describe*
ecr:BatchGetImage
ec2:Get*
ec2:List*
ecr:Describe*
ecr:Get*
ecr:List*
ecs:Describe*
ecs:Get*
ecs:List*
eks:Describe*
eks:List*
elasticache:Describe*
elasticache:List*
elasticbeanstalk:Describe*
elasticbeanstalk:List*
elasticfilesystem:Describe*
elasticfilesystem:List*
elasticloadbalancing:Describe*
elasticloadbalancing:Get*
elasticmapreduce:Describe*
elasticmapreduce:Get*
elasticmapreduce:List*
es:Describe*
es:Get*
es:List*
events:Describe*
events:List*
firehose:Describe*
firehose:List*
glacier:Describe*
glacier:Get*
glacier:List*
glue:Describe*
glue:Get*
glue:List*
guardduty:Describe*
guardduty:Get*
guardduty:Get*
guardduty:List*
guardduty:List*
iam:GenerateCredentialReport
iam:Get*
iam:List*
inspector:Describe*
inspector:Get*
inspector:List*
iot:Describe*
iot:Get*
iot:List*
kafka:Describe*
kafka:Get*
kafka:List*
kinesis:Describe*
kinesis:Get*
kinesis:List*
kinesisanalytics:Describe*
kinesisanalytics:Get*
kinesisanalytics:List*
kinesisvideo:Describe*
kinesisvideo:Get*
kinesisvideo:List*
kms:Decrypt
kms:Describe*
kms:Get*
kms:List*
lambda:Get*
lambda:List*
logs:Filter*
logs:Get*
logs:List*
mq:Describe*
mq:List*
networkmanager:Describe*
networkmanager:Get*
networkmanager:List*
opsworks:Describe*
opsworks:Get*
opsworks:List*
organizations:Describe*
organizations:List*
rds:Describe*
rds:List*
redshift:Describe*
redshift:Get*
redshift:List*
rekognition:Describe*
rekognition:Get*
rekognition:List*
resource-groups:Get*
resource-groups:List*
route53:Get*
route53:List*
route53domains:Get*
route53domains:List*
route53resolver:Get*
route53resolver:List*
s3:Describe*
s3:Get*
s3:List*
sagemaker:Describe*
sagemaker:Get*
sagemaker:List*
secretsmanager:Describe*
secretsmanager:Get*
secretsmanager:GetResourcePolicy
secretsmanager:List*
servicediscovery:Get*
servicediscovery:List*
servicequotas:Get*
servicequotas:List*
ses:Describe*
ses:Get*
ses:List*
sns:Get*
sns:List*
sqs:Get*
sqs:List*
ssm:Describe*
ssm:Get*
ssm:List*
ssm:SendCommand
states:Describe*
states:Get*
states:List*
storagegateway:Describe*
storagegateway:List*
tag:Describe*
tag:Get*
transfer:Describe*
transfer:List*
waf-regional:Get*
waf-regional:List*
waf:Get*
waf:List*
wafv2:Describe*
wafv2:Get*
wafv2:List*
workspaces:Describe*
workspaces:Get*
workspaces:List*
xray:Get*
xray:List*

Kubernetes core

Kubernetes Intelligence を利用するために EKS クラスターをオンボードする際に必要な権限です。

PermissionDescription
eks:ListAccessPolicies利用可能なアクセスポリシーを一覧表示します。
eks:ListAccessEntriesクラスターのアクセスエントリを一覧表示します。
eks:DescribeClusterAmazon EKS クラスターを説明します。
eks:ListClusters指定した AWS リージョンにある AWS アカウントの Amazon EKS クラスターを一覧表示します。

PerfectScale for Commitments

PerfectScale for Commitments は、Savings Plans を通じて AWS Compute のコミットメントの管理と自動化を行います。権限は 2 つの機能グループに分かれています。

  1. PerfectScale for Commitments - Read & Recommend

    可視化および推奨機能に必要な権限です。

    savingsplans:DescribeSavingsPlans
    savingsplans:DescribeSavingsPlanRates
    savingsplans:DescribeSavingsPlansOfferingRates
    savingsplans:DescribeSavingsPlansOfferings
    savingsplans:ListTagsForResource
    ce:DescribeCostCategoryDefinition
    ce:StartCommitmentPurchaseAnalysis
    ce:ListCommitmentPurchaseAnalyses
    ce:GetCommitmentPurchaseAnalysis
    ce:ListCostCategoryDefinitions
  2. PerfectScale for Commitments - Purchases

    自動購入機能を有効にするために追加で必要な権限です。

    savingsplans:DescribeSavingsPlans
    savingsplans:DescribeSavingsPlanRates
    savingsplans:DescribeSavingsPlansOfferingRates
    savingsplans:DescribeSavingsPlansOfferings
    savingsplans:ListTagsForResource
    ce:DescribeCostCategoryDefinition
    ce:StartCommitmentPurchaseAnalysis
    ce:ListCommitmentPurchaseAnalyses
    ce:GetCommitmentPurchaseAnalysis
    ce:ListCostCategoryDefinitions

savingsplans: プレフィックスは AWS Savings Plans を指します。ce: プレフィックスは AWS Cost Explorer を指します。

PerfectScale for Spot

PerfectScale for Spot は、コストと使用状況に基づいて Auto Scaling Groups を分析し、オンデマンド EC2 インスタンスを Spot Instances に置き換えるための推奨事項を提供します。

ec2:Describe*
ec2:CreateLaunchTemplate
ec2:CreateLaunchTemplateVersion
ec2:ModifyLaunchTemplate
ec2:RunInstances
ec2:TerminateInstances
ec2:CreateTags
ec2:DeleteTags
ec2:CreateLaunchTemplateVersion
ec2:CancelSpotInstanceRequests
autoscaling:CreateOrUpdateTags
autoscaling:UpdateAutoScalingGroup
autoscaling:Describe*
autoscaling:AttachInstances
autoscaling:BatchDeleteScheduledAction
autoscaling:BatchPutScheduledUpdateGroupAction
cloudformation:ListStacks
cloudformation:Describe*
iam:PassRole
events:PutRule
events:PutTargets
events:PutEvents

Real-time anomalies

DoiT の real-time cost anomaly detection for AWS が、ほぼリアルタイムでコストスパイクを監視するには、次の権限が必要です。

PermissionDescription
ec2:DescribeImagesAWS アカウントが所有するプライベートイメージ内の EC2 インスタンス属性情報を取得するために必要な権限です。
kms:DecryptKMS キーによって暗号化された暗号文を復号します。
s3:GetBucketLocationCreate an IAM role automatically を実行する場合にのみ必要です。bucket が存在するリージョンを返します。
s3:GetBucketNotificationbucket の通知設定を返します。
s3:GetObjectAmazon S3 からオブジェクトを取得します。
s3:ListBucketユーザーが Amazon S3 の ListObjectsV2 オペレーションを使用できるようにします。詳細は Policies and permissions in Amazon S3 を参照してください。
s3:PutBucketNotificationCreate an IAM role automatically を実行する場合にのみ必要です。指定したイベントの通知を bucket で有効にします。
ec2:DescribeInstancesEC2 インスタンスを記述します。

Security Hub insights

DoiT の Insights が AWS Security Hub API と連携するには、次の権限が必要です。

PermissionDescription
securityhub:GetFindings指定した条件に一致する検出結果の一覧を返します。

Trusted Advisor insights

DoiT の Insights が AWS Trusted Advisor API と連携するには、次の権限が必要です。

PermissionDescription
trustedadvisor:GetRecommendation特定のグローバル推奨事項を取得します。
trustedadvisor:ListRecommendations絞り込み可能なグローバル推奨事項のセットを一覧表示します。
trustedadvisor:ListRecommendationResourcesグローバル推奨事項に関連付けられているリソースを一覧表示します。

Microsoft Azure

次の権限は、DoiT の インサイト および コンポーザー に必要です。Azure テナントを接続を参照してください。

権限説明
Management Group/Reader既存の management group 階層設定を一覧表示します。