ロールと権限
概念: organization
Organization は、Shisho Cloud の最上位の階層です。 基本的には会社に対応し、すべてのリソースとユーザーを含みます。
ロール
| ロール | 説明 |
|---|---|
| organization/owner | Organization 全体の所有者であり、Organization に対するすべてのアクションを実行できます。 |
| organization/member | Organization のメンバーであ�り、Organization に対する最小限の権限を持ちます。 |
| organization/auditor | Organization の監査人で、Organization 内のすべてのリソースとユーザーを閲覧できますが、変更を加えることはできません。 |
| organization/triager | トリアージ担当者。リスク統計や、各検出結果の詳細を閲覧し、これらの検出結果をトリアージできます。 |
| organization/browser | Organization の閲覧者で、リスク統計なしで Organization 内のすべてのリソースを閲覧できます。 |
| organization/user_browser | Organization のユーザー閲覧者で、Organization 内のすべてのユーザーとチームを閲覧できます。 |
| organization/assessor | Organization の評価者で、評価のために Organization 内のすべてのリソースを閲覧できます。 |
| organization/integration_manager | Organization のインテグレーション管理者で、インテグレーションを管理できます。 |
| organization/takumi_manager | Organization の Takumi マネージャーで、Takumi 関連の機能を管理できます。 |
| organization/takumi_user | Organization の Takumi ユーザー。Takumi のチャット機能は使用できますが、設定や請求の管理はできません。 |
権限
| 権限 | 説明 |
|---|---|
| bot.create_api_key | ボットのAPIキーを作成する |
| bot.create_trust_conditions | 信頼条件を作成する |
| bot.delete | ボットを削除する |
| bot.delete_trust_conditions | 信頼条件を削除する |
| bot.list_api_keys | ボットのAPIキーを一覧表示する |
| bot.list_trust_conditions | ボットの信頼条件を一覧表示する |
| bot.revoke_api_key | APIキーを失効させる |
| bot.update_api_key | APIキーのメタデータ(名前、説明)を更新する |
| bot.update_info | ボットの基本情報を更新する |
| bot.view_info | ボットの基本情報を閲覧する |
| integration.delete | インテグレーションを削除する |
| integration.edit | インテグレーションを更新する |
| integration.get_github_access_token | リソースから GitHub アクセストークンを取得する |
| integration.view | インテグレーションの基本情報を閲覧する |
| notification_group.delete | 通知グループを削除する |
| notification_group.edit | 通知グループの設定を更新する |
| notification_group.view | 通知グループの設定を閲覧する |
| organization.add_scheduled_task | Takumi が定期的なセキュリティレビューや自動化されたアクションを実行するためのスケジュールタスクを追加する |
| organization.correlate_resource | セキュリティグラフ内でリソースを別のリソースと関連付ける |
| organization.create_bot | ボットを作成する |
| organization.create_chat | Takumi AI アシスタントとの新しいチャットセッションを作成する |
| organization.create_integration | インテグレーションを作成する |
| organization.create_notification_group | 通知グループを作成する |
| organization.create_project | Shisho Cloud プロジェクトを作成する |
| organization.create_sso | SSO 設定を追加する |
| organization.create_team | チームを作成する |
| organization.create_workflow | ワークフローを作成する |
| organization.delete_address_from_email_allowlist | メール許可リストからメールアドレスを削除する |
| organization.delete_assessments | Takumi アセスメントを削除する |
| organization.delete_custom_decision_specification | カスタム決定仕様を削除する |
| organization.delete_organization | Organization を削除する |
| organization.delete_project | Shisho Cloud プロジェクトを削除する |
| organization.delete_scheduled_task | Takumiのタスクキューからスケジュールされたタスクを削除する |
| organization.delete_source_code_archive | ソースコードアーカイブを削除する |
| organization.delete_sso | SSO 設定を削除する |
| organization.delete_team | チームを削除する |
| organization.describe_assessment | Takumi アセスメントの情報を表示する |
| organization.describe_assessment_artifacts | Takumi アセスメントによって生成されたアーティファクト(レポートなど)を一覧表示および詳細表示する |
| organization.describe_decision_specification | 決定仕様の詳細を表示する |
| organization.dispatch_assessment | 新しい Takumi アセスメントをディスパッチする |
| organization.dispatch_workflow | ワークフローをディスパッチする |
| organization.get_chat_history | Takumi AI アシスタントとの過去の会話からチャット履歴を取得する |
| organization.get_takumi_scope | 許可された GitHub リポジトリや Slack チャンネルなど、Takumi のアクセススコープを閲覧する |
| organization.invite_user | ユーザー招待を送信する |
| organization.invite_user_with_team | 特定のチームを指定してユーザー招待を送信する |
| organization.kick_user | ユーザーをキックする |
| organization.list_assessments | Takumi アセスメントを一覧表示する |
| organization.list_bots | ボットを一覧表示する |
| organization.list_chat_metadata | Takumi AI アシスタントとのすべてのチャットセッションのメタデータを一覧表示する |
| organization.list_custom_decision_specification | カスタム決定仕様を一覧表示する |
| organization.list_events | Organization 内の監査イベントを一覧表示する |
| organization.list_integration | インテグレーションを一覧表示する |
| organization.list_invitation | 招待を一覧表示する |
| organization.list_latest_source_code_references | Organization の最新のソースコード参照を一覧表示する |
| organization.list_notification_group | 通知グループを一覧表示する |
| organization.list_project | Shisho Cloud プロジェクトを一覧表示する |
| organization.list_readable_repo | インテグレーションコンテンツを介して読み取り可能なGitHubリポジトリを一覧表示する |
| organization.list_scheduled_tasks | Takumiのために設定されたすべてのスケジュール済みタスクを一覧表示する |
| organization.list_source_code_archives | Organization のソースコードアーカイブを一覧表示する |
| organization.list_sso | SSO 設定を一覧表示する |
| organization.list_team | チームを一覧表示する |
| organization.list_user | ユーザー(権限を含む)を一覧表示する |
| organization.list_web_application | Organization 内のウェブアプリケーションを一覧表示する |
| organization.list_workflow | ワークフローを一覧表示する |
| organization.list_workflow_run | ワークフロー実行を一覧表示する |
| organization.list_writable_repo | インテグレーションコンテンツを介して書き込み可能なGitHubリポジトリを一覧表示する |
| organization.manage_custom_decision_specification | カスタム決定仕様を作成および更新する |
| organization.manage_takumi_billing | クレジットの購入、プランの購読、支払い方法の更新など、Takumi の請求を管理する |
| organization.manage_takumi_settings | Active Takumi の設定、Slack インテグレーション、機能の利用設定など、Takumi の設定を管理する |
| organization.query_real_data | GraphQL API をクエリして Shisho Cloud に統合された実データを取得する |
| organization.register_address_to_email_allowlist | メールアドレスをメール許可リストに追加する |
| organization.register_web_application | Organization に新しいウェブアプリケーションを登録する |
| organization.revoke_invitation | ユーザー招待を取り消す |
| organization.scan_ports | ポートスキャンを開始してネットワークの露出を検出する |
| organization.send_chat_message | Takumi AI アシスタントにチャットメッセージを送信する |
| organization.send_confirmation_to_mail_owner | メールアドレスの所有者に確認メールを送信する |
| organization.stream_chat_message | Takumi AI アシスタントからのチャットメッセージをリアルタイムでストリーミングする |
| organization.triage_decision | 検出結果をトリアージする |
| organization.uncorrelate_resource | セキュリティグラフ内でリソースと別のリソースとの関連付けを解除する |
| organization.update_assessment_notifications | Takumi アセスメントの通知先を更新する |
| organization.update_attack_surface_status | アタックサーフェスのステータス(無視、復元など)を更新する |
| organization.update_iam | Organization メンバーに対してロールまたは権限を付与/取り消しする |
| organization.update_settings | Organization 設定を更新する |
| organization.update_takumi_scope | Takumi がアクセスできる GitHub リポジトリや Slack チャンネルを制御するために、Takumi のアクセススコープを更新する |
| organization.upload_source_code_archive | ソースコードアーカイブをアップロードする |
| organization.use_datasource_playground | データソースプレイグラウンドを使用する |
| organization.verify_notification_channel | 通知チャネルが機能していることを確認する |
| organization.view_attack_surfaces | スキャンによって検出されたアタックサーフェスを閲覧する |
| organization.view_basic_info | Organization の基本情報を閲覧する |
| organization.view_ciem_settings | CIEM 設定を閲覧する |
| organization.view_dashboard | リソース詳細なしでリスク統計を含�むダッシュボードを閲覧する |
| organization.view_decision | リスク統計と各検出結果の詳細をリソース詳細とともに閲覧する |
| organization.view_email_allowlist | メール許可リストを閲覧する |
| organization.view_exposure | ポートスキャンによって検出されたネットワークの露出を閲覧する |
| organization.view_integrated_slack_channels | Slackチャンネルの詳細を閲覧する。この権限は list_integration 権限から分離されており、ソースインテグレーションの詳細を取得する権限がなくてもSlackチャンネルの詳細を閲覧できます。 |
| organization.view_permission | Organization 内のユーザーを一覧表示、詳細表示、編集する |
| organization.view_resource | リスク統計情報とともに Shisho Cloud に統合されたリソースを一覧表示および詳細表示する |
| organization.view_resource_analysis | リソースのリスク分析を閲覧する |
| organization.view_settings | Organization 設定を閲覧する |
| organization.view_takumi_billing_info | サブスクリプションのステータス、クレジット残高、利用履歴など、Takumi の請求情報を閲覧する |
| organization.view_workflow_run | ワークフロー実行を閲覧する |
| takumi_workplace.delete | ワークプレイスを削除する |
| takumi_workplace.edit | ワークプレイスとその設定を更新する |
| takumi_workplace.view | ワークプレイスとその設定を閲覧する |
| trust_condition.delete | 信頼条件を削除する |
| trust_condition.update | 信頼条件を更新する |
| trust_condition.view | 信頼条件を閲覧する |
| web_application.delete | ウェブアプリケーションを削除する |
| web_application.delete_endpoint | エンドポイントを削除する |
| web_application.delete_precondition | 事前条件を削除する |
| web_application.delete_scenario | シナリオを削除する |
| web_application.describe_authorization_policy | 認可ポリシー設定を閲覧する |
| web_application.find_endpoints | ウェブアプリケーションのエンドポイントを検出する |
| web_application.list_endpoint | ウェブアプリケーションのエンドポイントを一覧表示する |
| web_application.list_precondition | ウェブアプリケーションの事前条件を一覧表示する |
| web_application.list_scenario | ウェबアプリケーションのシナリオを一覧表示する |
| web_application.register_precondition | アプリケーションの新しい事前条件を登録する |
| web_application.register_scenario | 新しいシナリオを登録する |
| web_application.scan | ウェブアプリケーションでセキュリティスキャンを実行する |
| web_application.update | ウェブアプリケーションの設定とセッティングを更新する |
| web_application.update_authorization_policy | 認可ポリシー設定を更新する |
| web_application.update_endpoint | 既存のエンドポイント定義を更新する |
| web_application.update_precondition | 既存の事前条件を更新する |
| web_application.update_scenario | 既存のシナリオを更新する |
| web_application.view | ウェブアプリケーションとその基本情報を閲覧する |
| web_application.view_find_job | 検��出ジョブの履歴を閲覧する |
| workflow.delete | ワークフローを削除する |
| workflow.dispatch | ワークフローを実行する |
| workflow.edit | ワークフローを更新する |
| workflow.view | ワークフローを閲覧する |
| workflow_run.view | ワークフロー実行(終了コードと実行の出力を含む)を閲覧する |
| workflow_snapshot.view | ワークフロースナップショットを閲覧する |
ロールと権限のマトリックス
| 権限 | organization/assessor | organization/auditor | organization/browser | organization/integration_manager | organization/member | organization/owner | organization/takumi_manager | organization/takumi_user | organization/triager | organization/user_browser |
|---|---|---|---|---|---|---|---|---|---|---|
| bot.create_api_key | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| bot.create_trust_conditions | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| bot.delete | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| bot.delete_trust_conditions | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| bot.list_api_keys | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| bot.list_trust_conditions | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| bot.revoke_api_key | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| bot.update_api_key | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| bot.update_info | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| bot.view_info | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| integration.delete | ❌ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| integration.edit | ❌ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| integration.get_github_access_token | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ |
| integration.view | ❌ | ✅ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| notification_group.delete | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| notification_group.edit | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| notification_group.view | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.add_scheduled_task | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.correlate_resource | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.create_bot | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.create_chat | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.create_integration | ❌ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.create_notification_group | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.create_project | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.create_sso | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.create_team | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.create_workflow | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.delete_address_from_email_allowlist | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.delete_assessments | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.delete_custom_decision_specification | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.delete_organization | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.delete_project | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.delete_scheduled_task | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.delete_source_code_archive | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.delete_sso | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.delete_team | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.describe_assessment | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.describe_assessment_artifacts | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.describe_decision_specification | ❌ | ✅ | ✅ | ❌ | ✅ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.dispatch_assessment | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.dispatch_workflow | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.get_chat_history | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.get_takumi_scope | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.invite_user | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.invite_user_with_team | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.kick_user | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.list_assessments | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.list_bots | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.list_chat_metadata | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.list_custom_decision_specification | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.list_events | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.list_integration | ❌ | ✅ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.list_invitation | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.list_latest_source_code_references | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.list_notification_group | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ✅ | ❌ |
| organization.list_project | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.list_readable_repo | ❌ | ✅ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.list_scheduled_tasks | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.list_source_code_archives | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.list_sso | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.list_team | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ✅ |
| organization.list_user | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ✅ | ✅ |
| organization.list_web_application | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.list_workflow | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.list_workflow_run | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.list_writable_repo | ❌ | ✅ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.manage_custom_decision_specification | ❌ | ❌ | ❌ | �❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.manage_takumi_billing | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.manage_takumi_settings | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.query_real_data | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.register_address_to_email_allowlist | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.register_web_application | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.revoke_invitation | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.scan_ports | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.send_chat_message | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.send_confirmation_to_mail_owner | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.stream_chat_message | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.triage_decision | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.uncorrelate_resource | ❌ | ❌ | ��❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.update_assessment_notifications | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.update_attack_surface_status | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.update_iam | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.update_settings | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.update_takumi_scope | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.upload_source_code_archive | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.use_datasource_playground | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.verify_notification_channel | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.view_attack_surfaces | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.view_basic_info | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| organization.view_ciem_settings | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.view_dashboard | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.view_decision | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.view_email_allowlist | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.view_exposure | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.view_integrated_slack_channels | ❌ | ✅ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.view_permission | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| organization.view_resource | ✅ | ✅ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.view_resource_analysis | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| organization.view_settings | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| organization.view_takumi_billing_info | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| organization.view_workflow_run | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| takumi_workplace.delete | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| takumi_workplace.edit | ❌ | ❌ | ❌ | ❌ | ��❌ | ✅ | ✅ | ❌ | ❌ | ❌ |
| takumi_workplace.view | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ |
| trust_condition.delete | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| trust_condition.update | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| trust_condition.view | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.delete | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.delete_endpoint | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.delete_precondition | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.delete_scenario | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.describe_authorization_policy | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.find_endpoints | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.list_endpoint | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.list_precondition | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.list_scenario | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.register_precondition | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.register_scenario | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.scan | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.update | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.update_authorization_policy | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.update_endpoint | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.update_precondition | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.update_scenario | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| web_application.view | ✅ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
| web_application.view_find_job | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| workflow.delete | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| workflow.dispatch | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| workflow.edit | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| workflow.view | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| workflow_run.view | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
| workflow_snapshot.view | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ |
概念: project
プロジェクトは、Shisho Cloud の2番目の階層であり、Organization が所有しています。 プロジェクトにはリソースを集約でき、また、Shisho Cloud プリンシパルがプロジェクト内のリソースにアクセスするためのロールを定義します。
Organization は複数のプロジェクトを持つことができ、Organization のロールはプロジェクトに継承されます。 プロジェクトのロールは、他のプロジェクトや Organization に影響を与えません。
ロール
| ロール | 説明 |
|---|---|
| project/owner | プロジェクトの所有者であり、プロジェクトに対するすべてのアクションを実行できます。 |
| project/triager | トリアージ担当者。各検出結果のリスク統計と詳細を閲覧し、これらの検出結果をトリアージできます。 |
| project/viewer | 閲覧者。各検出結果のリスク統計と詳細を閲覧できます。 |
権限
| 権限 | 説明 |
|---|---|
| bot.create_api_key | ボットのAPIキーを作成する |
| bot.create_trust_conditions | 信頼条件を作成する |
| bot.delete | ボットを削除する |
| bot.delete_trust_conditions | 信頼条件を削除する |
| bot.list_api_keys | ボットのAPIキーを一覧表示する |
| bot.list_trust_conditions | ボットの信頼条件を一覧表示する |
| bot.revoke_api_key | APIキーを失効させる |
| bot.update_api_key | APIキーのメタデータ(名前、説明)を更新する |
| bot.update_info | ボットの基本情報を更新する |
| bot.view_info | ボットの基本情報を閲覧する |
| project.add_permission | プロジェクトの権限テーブルにプリンシパルを追加する |
| project.create_default_notification_channels | プロジェクトのデフォルト通知チャネルを作成する |
| project.create_notification_configurations | プロジェクトの通知設定を作成する |
| project.delete | プロジェクトを削除する |
| project.delete_default_notification_channels | プロジェクトのデフォルト通知チャネルを削除する |
| project.delete_notification_configurations | プロジェクト�の通知設定を削除する |
| project.delete_permission | プロジェクトの権限テーブルからプリンシパルを削除する |
| project.describe_organization_email_allowlist_item | プロジェクトに登録されているメール許可リストのエントリを閲覧する。これは Organization との共有リソースのため、この権限をプリンシパルに許可すると Organization 全体のメール許可リストに影響する場合があります。 |
| project.describe_organization_integrated_slack_channel | Organizationに統合され、プロジェクトに紐づけられたSlackチャンネルの詳細を閲覧する。これは Organization との共有リソースのため、この権限を許可すると Organization 全体のSlackチャンネル詳細に影響する場合があります。 |
| project.describe_organization_notification_group | プロジェクトに紐づけられた通知グループの詳細を閲覧する。これは Organization との共有リソースのため、この権限を許可すると Organization 全体のSlackチャンネル詳細に影響する場合があります。 |
| project.dispatch_workflow | ワークフローをディスパッチし、Shisho Cloud Organization全体に影響を与えて新しいスキャン結果を生成できるようにする。ワークフローはOrganizationとの共有リソースであり、この権限をプリンシパルに許可すると、Organization全体のワークフローディスパッチに影響する可能性がある点に注意してください。 |
| project.link_resource | プロジェクトスコープにリソースを追加する |
| project.list_bots | プロジェクトスコープ内のボットを一覧表示および詳細表示する |
| project.list_notification_configurations | プロジェクトの通知設定を一覧表示する |
| project.list_scopable_entities | スコープ可能なエンティティを一覧表示する |
| project.triage_decision | 検出結果をトリアージする。判定データは Organization との共有リソースのため、この権限を付与するとプリンシパルがその共有データを変更できるようになる場合があります。 |
| project.unlink_resource | プロジェクトスコープからリソースを削除する |
| project.update_default_notification_channels | プロジェクトのデフォルト通知チャネルを更新する |
| project.update_iam | プリンシパルに対してプロジェクトレベルの権限を付与/取り消しする |
| project.update_info | プロジェクトの基本情報を更新する |
| project.update_notification_configurations | プロジェクトの通知設定を更新する |
| project.upsert_organization_email_allowlist | プロジェクトのデフォルト通知用にメール許可リストにメールアドレスをupsertする。これは Organization との共有リソースのため、この権限を許可すると Organization 全体のメール許可リストに影響する場合があります。 |
| project.view | プロジェクトの基本情報を閲覧する |
| project.view_dashboard | リソース詳細なしでリスク統計を含むダッシュボードを閲覧する |
| project.view_decision | リスク統計と各検出結果の詳細をリソース詳細とともに閲覧する。判定データは Organization との共有リソースのため、この権限を付与するとプリンシパルがその共有データを読み取れるようになる場合があります。 |
| project.view_default_notification_channels | プロジェクトのデフォルト通知��チャネルを閲覧する |
| project.view_notification_configurations | プロジェクトの通知設定を閲覧する |
| project.view_permission | プロジェクトスコープ内のユーザーを一覧表示および詳細表示する |
| project.view_resource | プロジェクトスコープ内のリソースを一覧表示および詳細表示する。リソース自体は Organization との共有リソースのため、この権限を付与するとプリンシパルがその共有データを読み取れるようになる場合があります。 |
| project.view_resource_analysis | リソースのリスク分析を閲覧する。 |
| trust_condition.delete | 信頼条件を削除する |
| trust_condition.update | 信頼条件を更新する |
| trust_condition.view | 信頼条件を閲覧する |
ロールと権限のマトリックス
| 権限 | organization/assessor | organization/auditor | organization/browser | organization/integration_manager | organization/owner | organization/takumi_manager | organization/triager | project/owner | project/triager | project/viewer |
|---|---|---|---|---|---|---|---|---|---|---|
| bot.create_api_key | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| bot.create_trust_conditions | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| bot.delete | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| bot.delete_trust_conditions | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| bot.list_api_keys | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ |
| bot.list_trust_conditions | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ |
| bot.revoke_api_key | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| bot.update_api_key | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| bot.update_info | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| bot.view_info | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ |
| project.add_permission | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.create_default_notification_channels | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.create_notification_configurations | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.delete | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ |
| project.delete_default_notification_channels | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.delete_notification_configurations | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.delete_permission | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.describe_organization_email_allowlist_item | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ❌ | ✅ | ❌ | ❌ |
| project.describe_organization_integrated_slack_channel | ❌ | ✅ | ❌ | ✅ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.describe_organization_notification_group | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ |
| project.dispatch_workflow | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.link_resource | ✅1 | ✅2 | ✅3 | ❌ | ✅4 | ❌ | ✅5 | ✅6 | ❌ | ❌ |
| project.list_bots | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ |
| project.list_notification_configurations | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ |
| project.list_scopable_entities | ✅7 | ✅8 | ✅9 | ❌ | ✅10 | ❌ | ✅11 | ✅12 | ❌ | ❌ |
| project.triage_decision | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ❌ |
| project.unlink_resource | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.update_default_notification_channels | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.update_iam | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.update_info | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.update_notification_configurations | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.upsert_organization_email_allowlist | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ✅ | ❌ | ❌ |
| project.view | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ |
| project.view_dashboard | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
| project.view_decision | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
| project.view_default_notification_channels | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| project.view_notification_configurations | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ |
| project.view_permission | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ |
| project.view_resource | ✅ | ✅ | ✅ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
| project.view_resource_analysis | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
| trust_condition.delete | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| trust_condition.update | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ |
| trust_condition.view | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ |
概念: team
チームは、ユーザーをグループ化する Shisho Cloud プリンシパルです。 チームにはロールを付与でき、そのロールはチーム内のすべてのユーザーに適用されます。
ロール
| ロール | 説明 |
|---|---|
| team/owner | チームの所有者であり、チームに対するすべてのアクションを実行できます。なお、チームの所有者が Organization の所有者であるとは限りません。 |
| team/member | チームのメンバーであり、チームに対するアクションを実行できます。 |
権限
| 権限 | 説明 |
|---|---|
| team.act_as_team | チームとして行動する。チームが他のエンティティ(例: Organization、Shisho Cloud プロジェクトなど)に対するロールを持っている場合にチームの権限でアクションを実行できます。 |
| team.delete | チームを削除する |
| team.kick_user | チームからユーザーを削除する |
| team.link_user | チームにユーザーを追加する |
| team.update_iam | メンバーに対して所有者権限を付与/取り消しする |
| team.update_info | チームの基本情報を更新する |
| team.view | チームの基本情報を閲覧する |
ロールと権限のマトリックス
| 権限 | organization/auditor | organization/owner | organization/takumi_manager | organization/triager | organization/user_browser | team/member | team/owner |
|---|---|---|---|---|---|---|---|
| team.act_as_team | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ |
| team.delete | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ |
| team.kick_user | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ |
| team.link_user | ✅13 | ✅14 | ✅15 | ✅16 | ✅17 | ❌ | ✅18 |
| team.update_iam | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ |
| team.update_info | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ |
| team.view | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ |
Footnotes
-
project.link_resourceを実行するには、organization/assessorにproject/ownerも必要です。 ↩ -
project.link_resourceを実行するには、organization/auditorにproject/ownerも必要です。 ↩ -
project.link_resourceを実行するには、organization/browserにproject/ownerも必要です。 ↩ -
project.link_resourceを実行するには、organization/ownerにproject/ownerも必要です。 ↩ -
project.link_resourceを実行するには、organization/triagerにproject/ownerも必要です。 ↩ -
project.link_resourceを実行するには、project/ownerにorganization/assessorも必要です。 ↩ -
project.list_scopable_entitiesを実行するには、organization/assessorにproject/ownerも必要です。 ↩ -
project.list_scopable_entitiesを実行するには、organization/auditorにproject/ownerも必要です。 ↩ -
project.list_scopable_entitiesを実行するには、organization/browserにproject/ownerも必要です。 ↩ -
project.list_scopable_entitiesを実行するには、organization/ownerにproject/ownerも必要です。 ↩ -
project.list_scopable_entitiesを実行するには、organization/triagerにproject/ownerも必要で�す。 ↩ -
project.list_scopable_entitiesを実行するには、project/ownerにorganization/assessorも必要です。 ↩ -
team.link_userを実行するには、organization/auditorにteam/ownerも必要です。 ↩ -
team.link_userを実行するには、organization/ownerにteam/ownerも必要です。 ↩ -
team.link_userを実行するには、organization/takumi_managerにteam/ownerも必要です。 ↩ -
team.link_userを実行するには、organization/triagerにteam/ownerも必要です。 ↩ -
team.link_userを実行するには、organization/user_browserにteam/ownerも必要です。 ↩ -
team.link_userを実行するには、team/ownerにorganization/takumi_managerも必要です。 ↩