メインコンテンツまでスキップ
Markdown で見る

ロールと権限

概念: organization

Organization は、Shisho Cloud の最上位の階層です。 基本的には会社に対応し、すべてのリソースとユーザーを含みます。

ロール

ロール説明
organization/ownerOrganization 全体の所有者であり、Organization に対するすべてのアクションを実行できます。
organization/memberOrganization のメンバーであり、Organization に対する最小限の権限を持ちます。
organization/auditorOrganization の監査人で、Organization 内のすべてのリソースとユーザーを閲覧できますが、変更を加えることはできません。
organization/triagerトリアージ担当者。リスク統計や、各検出結果の詳細を閲覧し、これらの検出結果をトリアージできます。
organization/browserOrganization の閲覧者で、リスク統計なしで Organization 内のすべてのリソースを閲覧できます。
organization/user_browserOrganization のユーザー閲覧者で、Organization 内のすべてのユーザーとチームを閲覧できます。
organization/assessorOrganization の評価者で、評価のために Organization 内のすべてのリソースを閲覧できます。
organization/integration_managerOrganization のインテグレーション管理者で、インテグレーションを管理できます。
organization/takumi_managerOrganization の Takumi マネージャーで、Takumi 関連の機能を管理できます。
organization/takumi_userOrganization の Takumi ユーザー。Takumi のチャット機能は使用できますが、設定や請求の管理はできません。
organization/takumi_runner_userOrganization の Takumi Runner ユーザー。Takumi Runner の機能は使用できますが、設定や請求の管理はできません。
organization/takumi_guard_token_issuerMDM 経由で開発者マシン向けの組織ユーザートークンを発行できる Takumi Guard トークン発行者。tgorg* トークンの発行のみを必要とするボット向けの最小権限ロールです。
organization/sso_managerOrganization の SSO マネージャー。SSO 設定を管理できます。

権限

権限説明
bot.create_api_keyボットのAPIキーを作成する
bot.create_trust_conditions信頼条件を作成する
bot.deleteボットを削除する
bot.delete_trust_conditions信頼条件を削除する
bot.list_api_keysボットのAPIキーを一覧表示する
bot.list_trust_conditionsボットの信頼条件を一覧表示する
bot.revoke_api_keyAPIキーを失効させる
bot.update_api_keyAPIキーのメタデータ(名前、説明)を更新する
bot.update_infoボットの基本情報を更新する
bot.view_infoボットの基本情報を閲覧する
integration.deleteインテグレーションを削除する
integration.editインテグレーションを更新する
integration.get_github_access_tokenリソースから GitHub アクセストークンを取得する
integration.viewインテグレーションの基本情報を閲覧する
notification_group.delete通知グループを削除する
notification_group.edit通知グループの設定を更新する
notification_group.view通知グループの設定を閲覧する
organization.add_scheduled_taskTakumi が定期的なセキュリティレビューや自動化されたアクションを実行するためのスケジュールタスクを追加する
organization.correlate_resourceセキュリティグラフ内でリソースを別のリソースと関連付ける
organization.create_botボットを作成する
organization.create_chatTakumi AI アシスタントとの新しいチャットセッションを作成する
organization.create_integrationインテグレーションを作成する
organization.create_notification_group通知グループを作成する
organization.create_projectShisho Cloud プロジェクトを作成する
organization.create_ssoSSO 設定を追加する
organization.create_teamチームを作成する
organization.create_webhooksWebhook を作成する
organization.create_workflowワークフローを作成する
organization.delete_address_from_email_allowlistメール許可リストからメールアドレスを削除する
organization.delete_assessmentsTakumi アセスメントを削除する
organization.delete_custom_decision_specificationカスタム決定仕様を削除する
organization.delete_organizationOrganization を削除する
organization.delete_projectShisho Cloud プロジェクトを削除する
organization.delete_scheduled_taskTakumiのタスクキューからスケジュールされたタスクを削除する
organization.delete_source_code_archiveソースコードアーカイブを削除する
organization.delete_ssoSSO 設定を削除する
organization.delete_teamチームを削除する
organization.delete_webhooksWebhook を削除する
organization.describe_assessmentTakumi アセスメントの情報を表示する
organization.describe_assessment_artifactsTakumi アセスメントによって生成されたアーティファクト(レポートなど)を一覧表示および詳細表示する
organization.describe_decision_specification決定仕様の詳細を表示する
organization.dispatch_assessment新しい Takumi アセスメントをディスパッチする
organization.dispatch_workflowワークフローを一覧表示する
organization.get_chat_historyTakumi AI アシスタントとの過去の会話からチャット履歴を取得する
organization.get_takumi_scope許可された GitHub リポジトリや Slack チャンネルなど、Takumi のアクセススコープを閲覧する
organization.invite_userユーザー招待を送信する
organization.invite_user_with_team特定のチームを指定してユーザー招待を送信する
organization.issue_takumi_guard_tokenMDM 経由で開発者マシン向けの Takumi Guard 組織ユーザートークンを発行する。このアクセス権により、ボットが Organization を代表してユーザーごとの tgorg* トークンを発行できます。
organization.kick_userユーザーをキックする
organization.list_assessmentsTakumi アセスメントを一覧表示する
organization.list_botsボットを一覧表示する
organization.list_chat_metadataTakumi AI アシスタントとのすべてのチャットセッションのメタデータを一覧表示する
organization.list_custom_decision_specificationカスタム決定仕様を一覧表示する
organization.list_eventsOrganization 内の監査イベントを一覧表示する
organization.list_integrationインテグレーションを一覧表示する
organization.list_invitation招待を一覧表示する
organization.list_latest_source_code_referencesOrganization の最新のソースコード参照を一覧表示する
organization.list_notification_group通知グループを一覧表示する
organization.list_projectShisho Cloud プロジェクトを一覧表示する
organization.list_readable_repoインテグレーションコンテンツを介して読み取り可能なGitHubリポジトリを一覧表示する
organization.list_scheduled_tasksTakumiのために設定されたすべてのスケジュール済みタスクを一覧表示する
organization.list_source_code_archivesOrganization のソースコードアーカイブを一覧表示する
organization.list_ssoSSO 設定を一覧表示する
organization.list_teamチームを一覧表示する
organization.list_userユーザー(権限を含む)を一覧表示する
organization.list_web_applicationOrganization 内のウェブアプリケーションを一覧表示する
organization.list_workflowユーザーを削除する
organization.list_workflow_runワークフロー実行を一覧表示する
organization.list_writable_repoインテグレーションコンテンツを介して書き込み可能なGitHubリポジトリを一覧表示する
organization.manage_custom_decision_specificationカスタム決定仕様を作成および更新する
organization.manage_metered_subscriptionRunner の有効化・無効化を含む、従量課金制サブスクリプションを管理する
organization.manage_takumi_billingクレジットの購入、プランの購読、支払い方法の更新など、Takumi の請求を管理する
organization.manage_takumi_settingsActive Takumi の設定、Slack インテグレーション、機能の利用設定など、Takumi の設定を管理する
organization.query_real_dataGraphQL API をクエリして Shisho Cloud に統合された実データを取得する
organization.register_address_to_email_allowlistメールアドレスをメール許可リストに追加する
organization.register_web_applicationOrganization に新しいウェブアプリケーションを登録する
organization.revoke_invitationユーザー招待を取り消す
organization.rotate_webhook_secretsWebhook の署名シークレットをローテーションする
organization.scan_portsポートスキャンを開始してネットワークの露出を検出する
organization.send_chat_messageTakumi AI アシスタントにチャットメッセージを送信する
organization.send_confirmation_to_mail_ownerメールアドレスの所有者に確認メールを送信する
organization.stream_chat_messageTakumi AI アシスタントからのチャットメッセージをリアルタイムでストリーミングする
organization.triage_decision検出結果をトリアージする
organization.uncorrelate_resourceセキュリティグラフ内でリソースと別のリソースとの関連付けを解除する
organization.update_assessment_notificationsTakumi アセスメントの通知先を更新する
organization.update_attack_surface_statusアタックサーフェスのステータス(無視、復元など)を更新する
organization.update_iamOrganization メンバーに対してロールまたは権限を付与/取り消しする
organization.update_settingsOrganization 設定を更新する
organization.update_takumi_scopeTakumi がアクセスできる GitHub リポジトリや Slack チャンネルを制御するために、Takumi のアクセススコープを更新する
organization.upload_source_code_archiveソースコードアーカイブをアップロードする
organization.use_datasource_playgroundデータソースプレイグラウンドを使用する
organization.verify_notification_channel通知チャネルが機能していることを確認する
organization.view_attack_surfacesスキャンによって検出されたアタックサーフェスを閲覧する
organization.view_basic_infoOrganization の基本情報を閲覧する
organization.view_ciem_settingsCIEM 設定を閲覧する
organization.view_dashboardリソース詳細なしでリスク統計を含むダッシュボードを閲覧する
organization.view_decisionリスク統計と各検出結果の詳細をリソース詳細とともに閲覧する
organization.view_email_allowlistメール許可リストを閲覧する
organization.view_exposureポートスキャンによって検出されたネットワークの露出を閲覧する
organization.view_integrated_slack_channelsSlackチャンネルの詳細を閲覧する。この権限は list_integration 権限から分離されており、ソースインテグレーションの詳細を取得する権限がなくてもSlackチャンネルの詳細を閲覧できます。
organization.view_metered_subscriptionRunner のサブスクリプション詳細を含む、従量課金制サブスクリプションのステータスを閲覧する
organization.view_permissionOrganization 内のユーザーを一覧表示、詳細表示、編集する
organization.view_resourceリスク統計情報とともに Shisho Cloud に統合されたリソースを一覧表示および詳細表示する
organization.view_resource_analysisリソースのリスク分析を閲覧する
organization.view_runner_job_execution_usageRunner ジョブの実行使用状況(ジョブ履歴とリポジトリ使用状況を含む)を閲覧する
organization.view_runner_metricsRunner のメトリクス(概要統計と履歴データを含む)を閲覧する
organization.view_runner_traceRunner の実行トレース(タイムライン、ネットワーク、ファイルの詳細を含む)を閲覧する
organization.view_settingsOrganization 設定を閲覧する
organization.view_takumi_billing_infoサブスクリプションのステータス、クレジット残高、利用履歴など、Takumi の請求情報を閲覧する
organization.view_webhooksWebhook を閲覧する
organization.view_workflow_runワークフロー実行を閲覧する
takumi_workplace.deleteワークプレイスを削除する
takumi_workplace.editワークプレイスとその設定を更新する
takumi_workplace.viewワークプレイスとその設定を閲覧する
trust_condition.delete信頼条件を削除する
trust_condition.update信頼条件を更新する
trust_condition.view信頼条件を閲覧する
web_application.deleteウェブアプリケーションを削除する
web_application.delete_endpointエンドポイントを削除する
web_application.delete_precondition事前条件を削除する
web_application.delete_scenarioシナリオを削除する
web_application.describe_authorization_policy認可ポリシー設定を閲覧する
web_application.find_endpointsウェブアプリケーションのエンドポイントを検出する
web_application.list_endpointウェブアプリケーションのエンドポイントを一覧表示する
web_application.list_preconditionウェブアプリケーションの事前条件を一覧表示する
web_application.list_scenarioウェブアプリケーションのシナリオを一覧表示する
web_application.register_preconditionアプリケーションの新しい事前条件を登録する
web_application.register_scenario新しいシナリオを登録する
web_application.scanウェブアプリケーションでセキュリティスキャンを実行する
web_application.updateウェブアプリケーションの構成と設定を更新する
web_application.update_authorization_policy認可ポリシー設定を更新する
web_application.update_endpoint既存のエンドポイント定義を更新する
web_application.update_precondition既存の事前条件を更新する
web_application.update_scenario既存のシナリオを更新する
web_application.viewウェブアプリケーションとその基本情報を閲覧する
web_application.view_find_job検出ジョブの履歴を閲覧する
workflow.deleteワークフローを削除する
workflow.dispatchワークフローを実行する
workflow.editワークフローを更新する
workflow.viewワークフローを閲覧する
workflow_run.viewワークフロー実行(終了コードと実行の出力を含む)を閲覧する
workflow_snapshot.viewワークフロースナップショットを閲覧する

ロールと権限のマトリックス

権限organization/assessororganization/auditororganization/browserorganization/integration_managerorganization/memberorganization/ownerorganization/sso_managerorganization/takumi_guard_token_issuerorganization/takumi_managerorganization/takumi_runner_userorganization/takumi_userorganization/triagerorganization/user_browser
bot.create_api_key
bot.create_trust_conditions
bot.delete
bot.delete_trust_conditions
bot.list_api_keys
bot.list_trust_conditions
bot.revoke_api_key
bot.update_api_key
bot.update_info
bot.view_info
integration.delete
integration.edit
integration.get_github_access_token
integration.view
notification_group.delete
notification_group.edit
notification_group.view
organization.add_scheduled_task
organization.correlate_resource
organization.create_bot
organization.create_chat
organization.create_integration
organization.create_notification_group
organization.create_project
organization.create_sso
organization.create_team
organization.create_webhooks
organization.create_workflow
organization.delete_address_from_email_allowlist
organization.delete_assessments
organization.delete_custom_decision_specification
organization.delete_organization
organization.delete_project
organization.delete_scheduled_task
organization.delete_source_code_archive
organization.delete_sso
organization.delete_team
organization.delete_webhooks
organization.describe_assessment
organization.describe_assessment_artifacts
organization.describe_decision_specification
organization.dispatch_assessment
organization.dispatch_workflow
organization.get_chat_history
organization.get_takumi_scope
organization.invite_user
organization.invite_user_with_team
organization.issue_takumi_guard_token
organization.kick_user
organization.list_assessments
organization.list_bots
organization.list_chat_metadata
organization.list_custom_decision_specification
organization.list_events
organization.list_integration
organization.list_invitation
organization.list_latest_source_code_references
organization.list_notification_group
organization.list_project
organization.list_readable_repo
organization.list_scheduled_tasks
organization.list_source_code_archives
organization.list_sso
organization.list_team
organization.list_user
organization.list_web_application
organization.list_workflow
organization.list_workflow_run
organization.list_writable_repo
organization.manage_custom_decision_specification
organization.manage_metered_subscription
organization.manage_takumi_billing
organization.manage_takumi_settings
organization.query_real_data
organization.register_address_to_email_allowlist
organization.register_web_application
organization.revoke_invitation
organization.rotate_webhook_secrets
organization.scan_ports
organization.send_chat_message
organization.send_confirmation_to_mail_owner
organization.stream_chat_message
organization.triage_decision
organization.uncorrelate_resource
organization.update_assessment_notifications
organization.update_attack_surface_status
organization.update_iam
organization.update_settings
organization.update_takumi_scope
organization.upload_source_code_archive
organization.use_datasource_playground
organization.verify_notification_channel
organization.view_attack_surfaces
organization.view_basic_info
organization.view_ciem_settings
organization.view_dashboard
organization.view_decision
organization.view_email_allowlist
organization.view_exposure
organization.view_integrated_slack_channels
organization.view_metered_subscription
organization.view_permission
organization.view_resource
organization.view_resource_analysis
organization.view_runner_job_execution_usage
organization.view_runner_metrics
organization.view_runner_trace
organization.view_settings
organization.view_takumi_billing_info
organization.view_webhooks
organization.view_workflow_run
takumi_workplace.delete
takumi_workplace.edit
takumi_workplace.view
trust_condition.delete
trust_condition.update
trust_condition.view
web_application.delete
web_application.delete_endpoint
web_application.delete_precondition
web_application.delete_scenario
web_application.describe_authorization_policy
web_application.find_endpoints
web_application.list_endpoint
web_application.list_precondition
web_application.list_scenario
web_application.register_precondition
web_application.register_scenario
web_application.scan
web_application.update
web_application.update_authorization_policy
web_application.update_endpoint
web_application.update_precondition
web_application.update_scenario
web_application.view
web_application.view_find_job
workflow.delete
workflow.dispatch
workflow.edit
workflow.view
workflow_run.view
workflow_snapshot.view

概念: project

プロジェクトは、Shisho Cloud の2番目の階層であり、Organization が所有しています。 プロジェクトにはリソースを集約でき、また、Shisho Cloud プリンシパルがプロジェクト内のリソースにアクセスするためのロールを定義します。

Organization は複数のプロジェクトを持つことができ、Organization のロールはプロジェクトに継承されます。 プロジェクトのロールは、他のプロジェクトや Organization に影響を与えません。

ロール

ロール説明
project/ownerプロジェクトの所有者であり、プロジェクトに対するすべてのアクションを実行できます。
project/triagerトリアージ担当者。各検出結果のリスク統計と詳細を閲覧し、これらの検出結果をトリアージできます。
project/viewer閲覧者。各検出結果のリスク統計と詳細を閲覧できます。

権限

権限説明
bot.create_api_keyボットのAPIキーを作成する
bot.create_trust_conditions信頼条件を作成する
bot.deleteボットを削除する
bot.delete_trust_conditions信頼条件を削除する
bot.list_api_keysボットのAPIキーを一覧表示する
bot.list_trust_conditionsボットの信頼条件を一覧表示する
bot.revoke_api_keyAPIキーを失効させる
bot.update_api_keyAPIキーのメタデータ(名前、説明)を更新する
bot.update_infoボットの基本情報を更新する
bot.view_infoボットの基本情報を閲覧する
project.add_permissionプロジェクトの権限テーブルにプリンシパルを追加する
project.create_default_notification_channelsプロジェクトのデフォルト通知チャネルを作成する
project.create_notification_configurationsプロジェクトの通知設定を作成する
project.deleteプロジェクトを削除する
project.delete_default_notification_channelsプロジェクトのデフォルト通知チャネルを削除する
project.delete_notification_configurationsプロジェクトの通知設定を削除する
project.delete_permissionプロジェクトの権限テーブルからプリンシパルを削除する
project.describe_organization_email_allowlist_itemプロジェクトに登録されているメール許可リストのエントリを閲覧する。これは Organization との共有リソースのため、この権限をプリンシパルに許可すると Organization 全体のメール許可リストに影響する場合があります。
project.describe_organization_integrated_slack_channelOrganizationに統合され、プロジェクトに紐づけられたSlackチャンネルの詳細を閲覧する。これは Organization との共有リソースのため、この権限を許可すると Organization 全体のSlackチャンネル詳細に影響する場合があります。
project.describe_organization_notification_groupプロジェクトに紐づけられた通知グループの詳細を閲覧する。これは Organization との共有リソースのため、この権限を許可すると Organization 全体のSlackチャンネル詳細に影響する場合があります。
project.dispatch_workflowワークフローをディスパッチし、Shisho Cloud Organization全体に影響を与えて新しいスキャン結果を生成できるようにする。ワークフローはOrganizationとの共有リソースであり、この権限をプリンシパルに許可すると、Organization全体のワークフローディスパッチに影響する可能性がある点に注意してください。
project.link_resourceプロジェクトスコープにリソースを追加する
project.list_botsプロジェクトスコープ内のボットを一覧表示および詳細表示する
project.list_notification_configurationsプロジェクトの通知設定を一覧表示する
project.list_scopable_entitiesスコープ可能なエンティティを一覧表示する
project.triage_decision検出結果をトリアージする。判定データは Organization との共有リソースのため、この権限を付与するとプリンシパルがその共有データを変更できるようになる場合があります。
project.unlink_resourceプロジェクトスコープからリソースを削除する
project.update_default_notification_channelsプロジェクトのデフォルト通知チャネルを更新する
project.update_iamプリンシパルに対してプロジェクトレベルの権限を付与/取り消しする
project.update_infoプロジェクトの基本情報を更新する
project.update_notification_configurationsプロジェクトの通知設定を更新する
project.upsert_organization_email_allowlistプロジェクトのデフォルト通知用にメール許可リストにメールアドレスをupsertする。これは Organization との共有リソースのため、この権限を許可すると Organization 全体のメール許可リストに影響する場合があります。
project.viewプロジェクトの基本情報を閲覧する
project.view_dashboardリソース詳細なしでリスク統計を含むダッシュボードを閲覧する
project.view_decisionリスク統計と各検出結果の詳細をリソース詳細とともに閲覧する。判定データは Organization との共有リソースのため、この権限を付与するとプリンシパルがその共有データを読み取れるようになる場合があります。
project.view_default_notification_channelsプロジェクトのデフォルト通知チャネルを閲覧する
project.view_notification_configurationsプロジェクトの通知設定を閲覧する
project.view_permissionプロジェクトスコープ内のユーザーを一覧表示および詳細表示する
project.view_resourceプロジェクトスコープ内のリソースを一覧表示および詳細表示する。リソース自体は Organization との共有リソースのため、この権限を付与するとプリンシパルがその共有データを読み取れるようになる場合があります。
project.view_resource_analysisリソースのリスク分析を閲覧する。
trust_condition.delete信頼条件を削除する
trust_condition.update信頼条件を更新する
trust_condition.view信頼条件を閲覧する

ロールと権限のマトリックス

権限organization/assessororganization/auditororganization/browserorganization/integration_managerorganization/ownerorganization/takumi_managerorganization/triagerproject/ownerproject/triagerproject/viewer
bot.create_api_key
bot.create_trust_conditions
bot.delete
bot.delete_trust_conditions
bot.list_api_keys
bot.list_trust_conditions
bot.revoke_api_key
bot.update_api_key
bot.update_info
bot.view_info
project.add_permission
project.create_default_notification_channels
project.create_notification_configurations
project.delete
project.delete_default_notification_channels
project.delete_notification_configurations
project.delete_permission
project.describe_organization_email_allowlist_item
project.describe_organization_integrated_slack_channel
project.describe_organization_notification_group
project.dispatch_workflow
project.link_resource123456
project.list_bots
project.list_notification_configurations
project.list_scopable_entities789101112
project.triage_decision
project.unlink_resource
project.update_default_notification_channels
project.update_iam
project.update_info
project.update_notification_configurations
project.upsert_organization_email_allowlist
project.view
project.view_dashboard
project.view_decision
project.view_default_notification_channels
project.view_notification_configurations
project.view_permission
project.view_resource
project.view_resource_analysis
trust_condition.delete
trust_condition.update
trust_condition.view

概念: team

チームは、ユーザーをグループ化する Shisho Cloud プリンシパルです。 チームにはロールを付与でき、そのロールはチーム内のすべてのユーザーに適用されます。

ロール

ロール説明
team/ownerチームの所有者であり、チームに対するすべてのアクションを実行できます。なお、チームの所有者が Organization の所有者であるとは限りません。
team/memberチームのメンバーであり、チームに対するアクションを実行できます。

権限

権限説明
team.act_as_teamチームとして行動する。チームが他のエンティティ(例: Organization、Shisho Cloud プロジェクトなど)に対するロールを持っている場合にチームの権限でアクションを実行できます。
team.deleteチームを削除する
team.kick_userチームからユーザーを削除する
team.link_userチームにユーザーを追加する
team.update_iamメンバーに対して所有者権限を付与/取り消しする
team.update_infoチームの基本情報を更新する
team.viewチームの基本情報を閲覧する

ロールと権限のマトリックス

権限organization/auditororganization/ownerorganization/takumi_managerorganization/triagerorganization/user_browserteam/memberteam/owner
team.act_as_team
team.delete
team.kick_user
team.link_user131415161718
team.update_iam
team.update_info
team.view

Footnotes

  1. project.link_resource を実行するには、organization/assessor には project/owner も必要です。

  2. project.link_resource を実行するには、organization/auditor には project/owner も必要です。

  3. project.link_resource を実行するには、organization/browser には project/owner も必要です。

  4. project.link_resource を実行するには、organization/owner には project/owner も必要です。

  5. project.link_resource を実行するには、organization/triager には project/owner も必要です。

  6. project.link_resource を実行するには、project/owner には organization/assessor も必要です。

  7. project.list_scopable_entities を実行するには、organization/assessor には project/owner も必要です。

  8. project.list_scopable_entities を実行するには、organization/auditor には project/owner も必要です。

  9. project.list_scopable_entities を実行するには、organization/browser には project/owner も必要です。

  10. project.list_scopable_entities を実行するには、organization/owner には project/owner も必要です。

  11. project.list_scopable_entities を実行するには、organization/triager には project/owner も必要です。

  12. project.list_scopable_entities を実行するには、project/owner には organization/assessor も必要です。

  13. team.link_user を実行するには、organization/auditor には team/owner も必要です。

  14. team.link_user を実行するには、organization/owner には team/owner も必要です。

  15. team.link_user を実行するには、organization/takumi_manager には team/owner も必要です。

  16. team.link_user を実行するには、organization/triager には team/owner も必要です。

  17. team.link_user を実行するには、organization/user_browser には team/owner も必要です。

  18. team.link_user を実行するには、team/owner には organization/takumi_manager も必要です。

最終更新