セキュリティとデータアクセス方針
このページでは、以下について説明します。
-
DoiT プラットフォームがどの顧客データにアクセスするのか、その理由、データの保存内容と保存方法
-
DoiT コンソールで特定の機能を有効にするために必要な権限
プライバシーとデータ保護
保存するデータ
DoiT プラットフォームの機能に必要なデータのみを保存します。
-
Cloud Billing exports — コアとなる請求機能に必要;BigQuery に保存
-
ユーザー情報 — コアとなる DoiT プラットフォーム機能に必要;Firestore に保存
-
DoiT コンソールで作成された資産(Invoices、Billing Profiles など)— コアとなる DoiT プラットフォーム機能に必要;Firestore に保存
-
契約 — コアとなる DoiT プラットフォーム機能に必要;Google Cloud Storage に保存
-
Service Account Keys — BigQuery Intelligence に必要;Firestore に保存され、KMS で暗号化
データの取り扱いと保存方法
取り扱うすべてのデータは、HTTPS(TLS)などの業界標準プロトコルを使用して転送時に暗号化されます。
保存するすべてのデータは、保存時に暗号化されます。
-
Google BigQuery — Google 管理の暗号鍵および Advanced Encryption Standard(AES)を使用
-
Google Firestore — Google 管理の暗号鍵および AES を使用
-
Google Cloud Storage — Google 管理の暗号鍵および AES を使用
-
Service Account Keys — Google Cloud KMS を使用して暗号化し、Google Secret Manager に保存
データにアクセスできる人物
アカウントマネージャーやサポートエンジニアなどの顧客対応ロールの DoiT 従業員は、DoiT プラットフォーム内のお客様のデータにアクセスできます。少人数のコア DoiT プラットフォーム開発チームは、基盤ストレージに保存されているお客様のデータに直接アクセスできる権限を持ちます。
Service Account keys は、バックエンドシステムが Google Cloud から関連データを取得する目的にのみ使用されます。KMS 鍵にアクセスできるのは、少人数のコア DoiT プラットフォーム開発チームのみです。
サードパーティ
以下に記載する、DoiT プラットフォームのコア機能に必要な例外を除き、いかなるサードパーティにもお客様のデータを提供しません。
-
DoiT Platform Support — エキスパートへ問い合わせシステムのバックエンドとして Zendesk を使用しています。問い合わせ関連のデータは Zendesk に保存され、Zendesk APIs [1] を使用して取得されます。
-
Payments — 決済には Stripe を使用しています。クレジットカードまたは銀行口座の�詳細など、決済関連のすべてのデータは Stripe プラットフォームに保存され、Stripe APIs [2] を介して使用されます。
コンプライアンス
当社製品は、セキュリティ、プライバシー、およびコンプライアンス管理の独立した検証を定期的に受け、グローバルスタンダードに基づく認証を取得しています。対象範囲の拡大に継続的に取り組んでいます。
-
EU および GDPR 準拠 — 当社は欧州経済領域(EEA)に顧客を有し、General Data Protection Regulation(GDPR)[3] に準拠してデータを取り扱っています。
-
SOC 2 および SOC 3 は、American Institute of Certified Public Accountants(AICPA)の Auditing Standards Board による既存の Trust Services Criteria(TSC)に基づくレポートです。本レポートは、セキュリティ、可用性、処理の完全性、機密性、プライバシーに関連する組織の情報システムを評価します。
-
ISO/IEC 27001 は、情報セキュリティマネジメントシステム(ISMS)の要件を定義するとともに、ベストプラクティスのセットを規定し、情報リスクの管理に役立つセキュリティ管理策を詳細に示しています。
DoiT プラットフォームの ISO/IEC 27001 および SOC 2/3 証明書は、trust.doit.com からリクエストできます。
外部参照
- [1]: Zendesk Privacy and Data Protection
- [2]: Stripe Global Privacy Policy
- [3]: EU Data Protection page
Ava のセキュリティコンプライアンス
当社の生成 AI チャットボットである Ava は、顧客データの機密性、完全性、および可用性を確保するために、最高水準のセキュリティ対策を講じて設計されています。
GenAI 組織サブスクリプション
当社組織は GenAI のエンタープライズサブスクリプションを利用しており、追加のセキュリティレイヤーと制御機能を備えています。
-
強化されたセキュリティ対策: エンタープライズサブスクライバー専用の追加セキュリティプロトコル。
-
専用データハブ: Ava によって処理されるすべてのデータは、プライベートで安全なデータハブに保存され、認可されていない第三者がアクセスしたり漏えいしたりすることがないようになっています。加えて、当社はこのデータを GenAI による学習目的で送信することは決してありません。
顧客データの取り扱い
Billing Data
Cloud Analytics レポートを生成するために、以下のようにデータを取り扱います。
-
認証要件: 請求データにアクセスしレポートを生成できるのは、当社の安全な認証システムを通じてログインしている顧客のみです。
-
API セキュリティ: 既存の Cloud Analytics APIs を活用してデータを安全に処理し、不正アクセスや侵害が発生しないようにしています。
顧客コンテキストと資産管理
顧客固有のコンテキスト、資産、および一般情報については、以下のように処理します。
-
ベクターデータベースの利用: 顧客の利用状況および関連性に基づき、ベクターデータベースを使用して顧客データを安全に保存・埋め込みします。
-
データのセグメンテーション: 各顧客のデータは堅牢なフィルタリングメカニズムにより分離されており、他の顧客のデータへアクセスまたは閲覧することはできません。
これらのセキュリティ実践に従うことで、Ava はすべての顧客データを最高レベルのセキュリティで取り扱い、不正アクセスを防止し、あらゆるオペレーションにおけるデータの完全性を維持します。
機能別の権限
Google Cloud
コア機能
以下は、DoiT プラットフォームに必要な読み取り専用権限の最小セットです。
アクセスレベル: Organization、Project
Google Cloud のリソース階層に関する情報を取得し、請求と相関させるために必要な権限。
resourcemanager.projects.get
compute.addresses.list
compute.disks.get
compute.disks.list
compute.images.get
compute.images.list
compute.instances.get
compute.instances.list
compute.projects.get
compute.regions.get
compute.regions.list
compute.snapshots.get
compute.snapshots.list
compute.zones.get
compute.zones.list
compute.commitments.get
compute.commitments.list
Google Cloud APIs(例: Recommender API)のステータスを確認し(必要に応じて有効化する)ために必要な権限。
serviceusage.services.enable
serviceusage.services.get
serviceusage.services.list
serviceusage.services.use
アクセスレベル: Organization のみ
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.projects.list
アクセスレベル: Project のみ
resourcemanager.projects.getIamPolicy
Ava 閲覧専用
アクセスレベル: Organization、Project
Ava が、Google Cloud 環境全体のデータを公開することなく、特定の選択された Organization または Project に対して、コンテキストを考慮した詳細なインサイトを安全に生成するために必要な権限。
compute.instanceGroups.get
compute.instanceGroupManagers.get
compute.routers.gets
compute.machineTypes.get
bigquery.tables.get
bigquery.tables.list
bigquery.datasets.get
bigquery.jobs.get
bigquery.jobs.list
bigquery.jobs.listAll
bigquery.capacityCommitments.get
bigquery.capacityCommitments.list
bigquery.reservations.get
bigquery.reservations.list
bigquery.reservationAssignments.list
bigquery.reservationAssignments.search
storage.buckets.get
storage.buckets.list
storage.buckets.getIamPolicy
storage.objects.getIamPolicy
cloudsql.instances.get
cloudsql.instances.list
dns.resourceRecordSets.list
cloudfunctions.functions.get
cloudfunctions.functions.list
cloudfunctions.operations.get
cloudfunctions.operations.list
cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.operations.get
cloudbuild.operations.list
pubsub.topics.get
pubsub.topics.list
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.schemas.get
pubsub.schemas.list
logging.logs.list
logging.sinks.get
logging.sinks.list
logging.exclusions.get
logging.exclusions.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
monitoring.groups.get
monitoring.groups.list
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.services.get
monitoring.services.list
monitoring.slos.get
monitoring.slos.list
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
cloudasset.assets.listResource
cloudasset.assets.searchAllResources
cloudasset.operations.list
securitycenter.assets.get
vpcaccess.connectors.get
vpcaccess.connectors.list
vpcaccess.operations.get
vpcaccess.operations.list
iam.roles.get
iam.roles.list
iam.serviceAccounts.get
iam.serviceAccounts.list
iam.workloadIdentityPools.get
iam.workloadIdentityPools.list
iam.workloadIdentityPoolProviders.get
iam.workloadIdentityPoolProviders.list
errorreporting.errorEvents.list
BigQuery Intelligence
アクセスレベル: Organization のみ
BigQuery Intelligence は、Organization レベルで audit log sink を作成し、プロジェクトをまたいでログを監視・分析します。Project レベルの sink からログを取得することはサポートしていません。
これらの権限により、BigQuery Intelligence はプロジェクト、データセット、テーブルの「構造」にアクセスし、ダッシュボード上でリソース名とともにコストおよび最適化の推奨事項を表示できます。これらの権限はいずれも BigQuery のデータ自体へのアクセスを許可するもの�ではありません。
BigQuery Intelligence の権限は、いくつかのカテゴリーに分類されています。
BigQuery Intelligence
BigQuery 環境のコスト最適化の推奨事項を取得するために必要な権限。
| Permission | 説明 |
|---|---|
bigquery.datasets.create | 新しい空のデータセットを作成。 |
bigquery.datasets.get | データセットのメタデータおよび権限を取得。 |
bigquery.tables.get | テーブルのメタデータを取得。 |
bigquery.tables.list | テーブルおよびテーブルのメタデータを一覧表示。 |
bigquery.jobs.get | 任意のジョブのデータとメタデータを取得。 |
bigquery.jobs.list | すべてのジョブを一覧表示し、任意のユーザーが送信したジョブのメタデータを取得。ほかのユーザーが送信したジョブの詳細とメタデータはマスクされます。 |
bigquery.jobs.listAll | すべてのジョブを一覧表示し、任意のユーザーが送信したジョブ��のメタデータを取得。 |
bigquery.jobs.create | プロジェクト内でジョブ(クエリを含む)を実行。 |
bigquery.routines.list | ルーチンおよびルーチンのメタデータを一覧表示。 |
bigquery.routines.get | ルーチン定義およびメタデータを取得。 |
logging.sinks.create | Cloud Logging に新しい sink を作成。 |
logging.sinks.get | Cloud Logging の sink に関する情報を取得。 |
BigQuery Intelligence Editions
BigQuery Intelligence が Google BigQuery editions と連携して動作するために必要な追加権限です。
| Permission | Description |
|---|---|
bigquery.capacityCommitments.list | プロジェクト内のすべての現在のキャパシティコミットメントについて、INFORMATION_SCHEMA.CAPACITY_COMMITMENTS ビュー をクエリします。 |
bigquery.capacityCommitments.get | プロジェクト内のキャパシ�ティコミットメントを取得します。 |
bigquery.reservations.list | プロジェクト内のすべてのスロット予約の一覧について、INFORMATION_SCHEMA.RESERVATIONS ビュー をクエリします。 |
bigquery.reservations.get | スロット予約の詳細を取得します。 |
bigquery.reservationAssignments.list | プロジェクト内のすべての予約割り当てについて、INFORMATION_SCHEMA.ASSIGNMENTS ビュー をクエリします。 |
bigquery.reservationAssignments.search | 指定されたプロジェクト、フォルダ、または組織に対する予約割り当てを検索します。 |
BigQuery Intelligence Insights
追加の BigQuery Intelligence Insights を取得するために必要な権限です。
| Permission | Description |
|---|---|
recommender.bigqueryCapacityCommitmentsInsights.getrecommender.bigqueryCapacityCommitmentsInsights.listrecommender.bigqueryCapacityCommitmentsRecommendations.getrecommender.bigqueryCapacityCommitmentsRecommendations.list | コスト最適なコミットメントスロットの推奨事項 へアクセスします。 |
recommender.bigqueryMaterializedViewInsights.getrecommender.bigqueryMaterializedViewInsights.listrecommender.bigqueryMaterializedViewRecommendations.getrecommender.bigqueryMaterializedViewRecommendations.list | マテリアライズドビューの推奨事項 へアクセスします。 |
recommender.bigqueryPartitionClusterRecommendations.getrecommender.bigqueryPartitionClusterRecommendations.listrecommender.bigqueryTableStatsInsights.getrecommender.bigqueryTableStatsInsights.list | パーティションおよびクラスタの推奨事項 へアクセスします。 |
Cloud Diagrams
Access level: Organization, Project
Google Cloud 環境に対して Cloud Diagrams を作成するために必要な権限です。
cloudasset.assets.listResource
cloudasset.assets.searchAllResources
compute.instanceGroups.get
compute.instanceGroupManagers.get
compute.routers.get
dns.resourceRecordSets.list
Composer
Access level: Project
Composer にインフラストラクチャを分析しダイアグラムを生成させるために必要な権限です。
artifactregistry.dockerimages.list
artifactregistry.locations.list
artifactregistry.repositories.list
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.tables.list
cloudfunctions.functions.getIamPolicy
cloudfunctions.functions.list
cloudkms.cryptoKeys.list
cloudkms.keyRings.list
cloudsql.instances.list
compute.addresses.list
compute.autoscalers.list
compute.backendBuckets.list
compute.backendServices.list
compute.disks.list
compute.firewallPolicies.list
compute.firewalls.list
compute.forwardingRules.list
compute.images.list
compute.instanceGroups.list
compute.instances.getIamPolicy
compute.instances.list
compute.networks.list
compute.projects.get
compute.regions.list
compute.subnetworks.list
compute.zones.list
container.clusters.list
dataflow.jobs.list
dataproc.clusters.list
dns.managedZones.getIamPolicy
dns.managedZones.list
iam.serviceAccountKeys.list
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.list
pubsub.subscriptions.list
pubsub.topics.list
redis.instances.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
storage.buckets.getIamPolicy
storage.buckets.list
Google Cloud Rightsizing
Access level: Organization only
組織全体の Google Compute Engine インスタンスに対する Rightsizing の Recommendations を提供するために必要な権限です。
recommender.computeInstanceMachineTypeRecommendations.list
compute.instances.list
Rightsizing の Recommendations を実装するために必要な権限です。
compute.instances.setMachineType
compute.instances.stop
compute.instances.start
Insights from BigQuery export
GCP Recommender BigQuery export からのインサイト向けにデータセットを接続するために必要な権限は次のとおりです。
Access level: Project
| Permission | Description |
|---|---|
bigquery.jobs.create | プロジェクト内でジョブ(クエリを含む)を実行します。 |
Access level: Dataset
| Permission | Description |
|---|---|
bigquery.tables.get | テーブルのメタデータを取得します。 |
bigquery.tables.list | テーブルおよびテーブルのメタデータを一覧表示します。 |
bigquery.tables.getData | テーブルデータを取得します。この権限はテーブルデータをクエリするために必要です。 |
Kubernetes core
以下の目的で必要な権限です。
- DoiT の Insights が Kubernetes クラスタと連携し、実行可能な推奨事項を提供できるようにする
- Kubernetes Intelligence を利用するために GKE クラスタをオンボーディングする
Google Kubernetes Engine (GKE): API permissions も参照してください。
Access level: Organization, Project
| Permission | Description |
|---|---|
container.clusters.get | 特定の GKE クラスタに関する情報を取得します。 |
container.clusters.list | 特定のプロジェクト内のすべての GKE クラスタを一覧表示します。 |
container.clusters.connect | GKE クラスタに接続します。これは Kubernetes API サーバーに接続するために必要です。Authenticate to the Kubernetes API server も参照してください。 |
Real-time anomalies – GCE
DoiT の real-time cost anomaly detection for Google Compute Engine は、コストスパイクをほぼリアルタイムで監視するために次の権限を必要とします。
Access level: Organization
| Permission | Description |
|---|---|
logging.sinks.create | ログシンクを作成します。 |
logging.sinks.get | ログシンクが正しく構成されているかを確認します。 |
logging.sinks.update | 構成の不備が検出された場合にログシンクを更新します。 |
compute.machineTypes.get | コストアノマリー検出の評価のために、インスタンスの machine type メタデータを取得します。 |
Real-time anomalies – BigQuery
DoiT の real-time cost anomaly detection for BigQuery は、コストスパイクをほぼリアルタイムで監視するために次の権限を必要とします。
Access level: Project
| Permission | Description |
|---|---|
bigquery.jobs.create | プロジェクト内でジョブ(クエリを含む)を実行します。この権限はスロット予約に対するアノマリー検出に必要です。 |
bigquery.jobs.get | ジョブステータスやメタデータなど、特定のジョブに関する情報を返します。 |
bigquery.jobs.list | 指定したプロジェクトで自分が開始したすべてのジョブを一覧表示します。 |
bigquery.jobs.listAll | 指定したプロジェクト内のすべてのユーザーのすべてのジョブを一覧表示します。 |
bigquery.reservations.get | 特定の BigQuery スロット予約リソースの構成と詳細を返しま�す。 |
bigquery.reservations.list | 指定したプロジェクト内のすべての BigQuery スロット予約および関連メタデータを一覧表示します。 |
monitoring.timeSeries.list | メトリクスの時系列データを返します。 |
monitoring.metricDescriptors.get | メトリック記述子(メトリック自体に関する情報)を返します。 |
Amazon Web Services
以下のセクションでは、お客様の AWS アカウントに対して必要となる権限を示します。
Core functionality
以下は、DoiT Platform の機能に必要となる最小限の読み取り専用権限です。これらの権限は、お客様の AWS アカウントの請求データおよびセキュリティ体制へアクセスするために必要です(cross-account AWS IAM Role も参照してください)。
| Permission | Description |
|---|---|
arn:aws:iam::aws:policy/SecurityAudit | AWS 管理ポリシー。Security Audit テンプレートは、セキュリティ構成メタデータの読み取りアクセスを付与します。 |
arn:aws:iam::aws:policy/AWSSavingsPlansReadOnlyAccess | AWS 管理ポリシー。このポリシーは Savings Plans サービスへの読み取り専用アクセスを付与します。 |
arn:aws:iam::aws:policy/job-function/Billing | AWS 管理ポリシー。このポリシーは請求、コスト、支払い方法、予算、およびレポートの管理に対するフル権限を付与します。 |
Ava read-only
特定のアカウントに対して、Ava が安全にコンテキスト化された詳細なインサイトを生成できるようにするために必要な権限は、Latest AWS Cloud Formation Stack template for support に記載されています。
AWS quota monitoring
AWS Quotas を監視するために事前に必要な権限です。
support:DescribeTrustedAdvisorCheckSummaries
support:DescribeTrustedAdvisorCheckRefreshStatuses
support:DescribeTrustedAdvisorChecks
support:DescribeSeverityLevels
support:RefreshTrustedAdvisorCheck
support:DescribeSupportLevel
support:DescribeCommunications
support:DescribeServices
support:DescribeIssueTypes
support:DescribeTrustedAdvisorCheckResult
trustedadvisor:DescribeNotificationPreferences
trustedadvisor:DescribeCheckRefreshStatuses
trustedadvisor:DescribeCheckItems
trustedadvisor:DescribeAccount
trustedadvisor:DescribeAccountAccess
trustedadvisor:DescribeChecks
trustedadvisor:DescribeCheckSummaries
Cloud Diagrams
Cloud Diagrams は、AWS アカウントの AWS クラウドインフラストラクチャのダイアグラムを生成します。
| Permission | Description |
|---|---|
apigateway:GET | 特定のゲートウェイを取得します。 |
ec2:SearchTransitGatewayRoutes | 指定した Transit Gateway ルートテーブル内のルートを検索します。 |
eks:ListTagsForResource | Amazon EKS リソースのタグを一覧表示します。 |
eks:ListFargateProfiles | 指定したリージョンの AWS アカウント内で、指定したクラスターに関連付けられている AWS Fargate プロファイルを一覧表示します。 |
eks:DescribeFargateProfile | AWS Fargate プロファイルを削除します。 |
elasticfilesystem:DescribeTags | ファイルシステムに関連付けられているタグを返します。 |
glacier:ListTagsForVault | ボールトに付与されているすべてのタグを一覧表示します。 |
glacier:GetVaultNotifications | ボールトに設定されている通知設定サブリソースを取得します。 |
glue:GetConnections | Data Catalog から接続定義の一覧を取得します。 |
glue:GetCrawler | 指定したクローラーのメタデータを取得します。 |
glue:GetDatabase | 指定したデータベースの定義を取得します。 |
health:DescribeEventDetails | 指定した 1 つ以上のイベントに関する詳細情報を返します。 |
networkmanager:Get* | ネットワークパフォーマンスデータを取得します。 |
networkmanager:List* | ネットワークパフォーマンスデータを一覧表示します。 |
ram:GetResourceSharest* | 所有している、または共有されているリソース共有の詳細を取得します。 |
wafv2:GetLoggingConfiguration | 指定した Web ACL の LoggingConfiguration を返します。 |
wafv2:GetRuleGroup | 指定した RuleGroup を取得します。 |
waf:GetLoggingConfiguration | 指定した Web ACL の LoggingConfiguration を返します。 |
waf-regional:GetLoggingConfiguration | 指定した Web ACL の LoggingConfiguration を返します。 |
eks:ListAccessPolicies | 利用可能なアクセスポリシーを一覧表示します。 |
eks:ListAccessEntries | クラスターのアクセスエントリを一覧表示します。 |
eks:DescribeCluster | Amazon EKS クラスターを記述します。 |
eks:ListClusters | 指定した AWS リージョンの AWS アカウント内の Amazon EKS クラスターを一覧表示します。 |
Cost Optimization Hub insights
DoiT の インサイト が AWS Cost Optimization Hub API と連携するには、次の権限が必要です。
| Permission | Description |
|---|---|
cost-optimization-hub:ListRecommendations | 推奨事項リストを返します。 |
Composer
Composer がインフラストラクチャを分析し、ダイアグラムを生成できるようにするために必要な権限です。
access-analyzer:Get*
access-analyzer:List*
account:Get*
account:List*
acm:Describe*
acm:Get*
acm:List*
amplify:Get*
amplify:List*
apigateway:Get*
apigateway:List*
application-autoscaling:Describe*
application-autoscaling:Get*
application-autoscaling:List*
autoscaling:Describe*
autoscaling:Get*
athena:Get*
athena:List*
backup:Describe*
backup:Get*
backup:List*
bedrock:Get*
bedrock:List*
cloudformation:Describe*
cloudformation:Get*
cloudformation:List*
cloudfront:Describe*
cloudfront:Get*
cloudfront:List*
cloudsearch:Describe*
cloudsearch:List*
cloudtrail:Describe*
cloudtrail:Get*
cloudtrail:List*
cloudtrail:lookupEvents
cloudwatch:Describe*
cloudwatch:Get*
cloudwatch:List*
codebuild:Describe*
codebuild:Get*
codebuild:List*
cognito-identity:Describe*
cognito-identity:Get*
cognito-identity:List*
cognito-idp:Describe*
cognito-idp:Get*
cognito-idp:List*
cognito-sync:Describe*
cognito-sync:Get*
cognito-sync:List*
comprehend:Describe*
comprehend:List*
datapipeline:Describe*
datapipeline:Get*
datapipeline:List*
config:Describe*
config:Get*
config:List*
dax:Describe*
dax:Get*
dax:List*
directconnect:Describe*
directconnect:List*
discovery:Describe*
discovery:Get*
discovery:List*
dms:Describe*
dms:List*
ds:Describe*
ds:Get*
ds:List*
dynamodb:Describe*
dynamodb:Get*
dynamodb:List*
ebs:Get*
ebs:List*
ec2:Describe*
ecr:BatchGetImage
ec2:Get*
ec2:List*
ecr:Describe*
ecr:Get*
ecr:List*
ecs:Describe*
ecs:Get*
ecs:List*
eks:Describe*
eks:List*
elasticache:Describe*
elasticache:List*
elasticbeanstalk:Describe*
elasticbeanstalk:List*
elasticfilesystem:Describe*
elasticfilesystem:List*
elasticloadbalancing:Describe*
elasticloadbalancing:Get*
elasticmapreduce:Describe*
elasticmapreduce:Get*
elasticmapreduce:List*
es:Describe*
es:Get*
es:List*
events:Describe*
events:List*
firehose:Describe*
firehose:List*
glacier:Describe*
glacier:Get*
glacier:List*
glue:Describe*
glue:Get*
glue:List*
guardduty:Describe*
guardduty:Get*
guardduty:Get*
guardduty:List*
guardduty:List*
iam:GenerateCredentialReport
iam:Get*
iam:List*
inspector:Describe*
inspector:Get*
inspector:List*
iot:Describe*
iot:Get*
iot:List*
kafka:Describe*
kafka:Get*
kafka:List*
kinesis:Describe*
kinesis:Get*
kinesis:List*
kinesisanalytics:Describe*
kinesisanalytics:Get*
kinesisanalytics:List*
kinesisvideo:Describe*
kinesisvideo:Get*
kinesisvideo:List*
kms:Decrypt
kms:Describe*
kms:Get*
kms:List*
lambda:Get*
lambda:List*
logs:Filter*
logs:Get*
logs:List*
mq:Describe*
mq:List*
networkmanager:Describe*
networkmanager:Get*
networkmanager:List*
opsworks:Describe*
opsworks:Get*
opsworks:List*
organizations:Describe*
organizations:List*
rds:Describe*
rds:List*
redshift:Describe*
redshift:Get*
redshift:List*
rekognition:Describe*
rekognition:Get*
rekognition:List*
resource-groups:Get*
resource-groups:List*
route53:Get*
route53:List*
route53domains:Get*
route53domains:List*
route53resolver:Get*
route53resolver:List*
s3:Describe*
s3:Get*
s3:List*
sagemaker:Describe*
sagemaker:Get*
sagemaker:List*
secretsmanager:Describe*
secretsmanager:Get*
secretsmanager:GetResourcePolicy
secretsmanager:List*
servicediscovery:Get*
servicediscovery:List*
servicequotas:Get*
servicequotas:List*
ses:Describe*
ses:Get*
ses:List*
sns:Get*
sns:List*
sqs:Get*
sqs:List*
ssm:Describe*
ssm:Get*
ssm:List*
ssm:SendCommand
states:Describe*
states:Get*
states:List*
storagegateway:Describe*
storagegateway:List*
tag:Describe*
tag:Get*
transfer:Describe*
transfer:List*
waf-regional:Get*
waf-regional:List*
waf:Get*
waf:List*
wafv2:Describe*
wafv2:Get*
wafv2:List*
workspaces:Describe*
workspaces:Get*
workspaces:List*
xray:Get*
xray:List*
Kubernetes core
Kubernetes Intelligence で EKS クラスターをオンボーディングするために必要な権限です。
| Permission | Description |
|---|---|
eks:ListAccessPolicies | 利用可能なアクセスポリシーを一覧表示します。 |
eks:ListAccessEntries | クラスターのアクセスエントリを一覧表示します。 |
eks:DescribeCluster | Amazon EKS クラスターを記述します。 |
eks:ListClusters | 指定した AWS リージョンの AWS アカウント内の Amazon EKS クラスターを一覧表示します。 |
PerfectScale for Commitments
PerfectScale for Commitments は、Savings Plans を通じて AWS コンピュートコミットメントを管理・自動化します。権限は 2 つの機能グループに分かれています。
-
PerfectScale for Commitments - Read & Recommend
可視化および推奨機能に必要な権限です。
savingsplans:DescribeSavingsPlans
savingsplans:DescribeSavingsPlanRates
savingsplans:DescribeSavingsPlansOfferingRates
savingsplans:DescribeSavingsPlansOfferings
savingsplans:ListTagsForResource
ce:DescribeCostCategoryDefinition
ce:StartCommitmentPurchaseAnalysis
ce:ListCommitmentPurchaseAnalyses
ce:GetCommitmentPurchaseAnalysis
ce:ListCostCategoryDefinitions -
PerfectScale for Commitments - Purchases
自動購入機能を有効にするために追加で必要な権限です。
savingsplans:DescribeSavingsPlans
savingsplans:DescribeSavingsPlanRates
savingsplans:DescribeSavingsPlansOfferingRates
savingsplans:DescribeSavingsPlansOfferings
savingsplans:ListTagsForResource
ce:DescribeCostCategoryDefinition
ce:StartCommitmentPurchaseAnalysis
ce:ListCommitmentPurchaseAnalyses
ce:GetCommitmentPurchaseAnalysis
ce:ListCostCategoryDefinitions
savingsplans: プレフィックスは AWS Savings Plans を指します。ce: プレフィックスは AWS Cost Explorer を指します。
PerfectScale for Spot
PerfectScale for Spot は、コストと使用状況に基づいて Auto Scaling Groups を分析し、オンデマンド EC2 インスタンスを Spot Instances に置き換えるための推奨事項を提供します。
ec2:Describe*
ec2:CreateLaunchTemplate
ec2:CreateLaunchTemplateVersion
ec2:ModifyLaunchTemplate
ec2:RunInstances
ec2:TerminateInstances
ec2:CreateTags
ec2:DeleteTags
ec2:CreateLaunchTemplateVersion
ec2:CancelSpotInstanceRequests
autoscaling:CreateOrUpdateTags
autoscaling:UpdateAutoScalingGroup
autoscaling:Describe*
autoscaling:AttachInstances
autoscaling:BatchDeleteScheduledAction
autoscaling:BatchPutScheduledUpdateGroupAction
cloudformation:ListStacks
cloudformation:Describe*
iam:PassRole
events:PutRule
events:PutTargets
events:PutEvents
Real-time anomalies
DoiT の real-time cost anomaly detection for AWS がコストスパイクをほぼリアルタイムで監視するには、次の権限が必要です。
| Permission | Description |
|---|---|
ec2:DescribeImages | AWS アカウントが所有するプライベートイメージ内の EC2 インスタンス属性情報を取得するために必要な権限です。 |
kms:Decrypt | KMS キーで暗号化された暗号文を復号します。 |
s3:GetBucketLocation | バケットのリージョンを返します。Create an IAM role automatically を使用する場合にのみ必要です。 |
s3:GetBucketNotification | バケットの通知設定を返します。 |
s3:GetObject | Amazon S3 からオブジェクトを取得します。 |
s3:ListBucket | ユーザーに Amazon S3 の ListObjectsV2 オペレーションの使用を許可します。詳細は Policies and permissions in Amazon S3 を参照してください。 |
s3:PutBucketNotification | 指定したイベントに対するバケットの通知を有効にします。Create an IAM role automatically を使用する場合にのみ必要です。 |
ec2:DescribeInstances | EC2 インスタンスを記述します。 |
Security Hub insights
DoiT の インサイト が AWS Security Hub API と連携するには、次の権限が必要です。
| Permission | Description |
|---|---|
securityhub:GetFindings | 指定した条件に一致する検出結果の一覧を返します。 |
Trusted Advisor insights
DoiT の インサイト が AWS Trusted Advisor API と連携するには、次の権限が必要です。
| Permission | Description |
|---|---|
trustedadvisor:GetRecommendation | 特定のグローバル推奨事項を取得します。 |
trustedadvisor:ListRecommendations | 絞り込み可能なグローバル推奨事項の一覧を返します。 |
trustedadvisor:ListRecommendationResources | グローバル推奨事項に関連するリソースを一覧表示します。 |
Microsoft Azure
DoiT の インサイト と コンポーザー には、次の権限が必要です。詳しくは、Azure テナントを接続 を参照してください。
| 権限 | 説明 |
|---|---|
| Management Group/Reader | 既存の Management Group 階層設定を一覧表示します。 |