# ロールと権限 ## 概念: organization {#organization} Organization は、Shisho Cloud の最上位の階層です。 基本的には会社に対応し、すべてのリソースとユーザーを含みます。 ### ロール {#organization-roles} | ロール | 説明 | | -------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | organization/owner | Organization 全体の所有者であり、Organization に対するすべてのアクションを実行できます。 | | organization/member | Organization のメンバーであり、Organization に対する最小限の権限を持ちます。 | | organization/auditor | Organization の監査人で、Organization 内のすべてのリソースとユーザーを閲覧できますが、変更を加えることはできません。 | | organization/triager | トリアージ担当者。リスク統計や、各検出結果の詳細を閲覧し、これらの検出結果をトリアージできます。 | | organization/browser | Organization の閲覧者で、リスク統計なしで Organization 内のすべてのリソースを閲覧できます。 | | organization/user_browser | Organization のユーザー閲覧者で、Organization 内のすべてのユーザーとチームを閲覧できます。 | | organization/assessor | Organization の評価者で、評価のために Organization 内のすべてのリソースを閲覧できます。 | | organization/integration_manager | Organization のインテグレーション管理者で、インテグレーションを管理できます。 | | organization/takumi_manager | Organization の Takumi マネージャーで、Takumi 関連の機能を管理できます。 | | organization/takumi_user | Organization の Takumi ユーザー。Takumi のチャット機能は使用できますが、設定や請求の管理はできません。 | | organization/takumi_runner_user | Organization の Takumi Runner ユーザー。Takumi Runner の機能は使用できますが、設定や請求の管理はできません。 | | organization/takumi_guard_token_issuer | MDM 経由で開発者マシン向けの組織ユーザートークンを発行できる Takumi Guard トークン発行者。tg*org*\* トークンの発行のみを必要とするボット向けの最小権限ロールです。 | | organization/sso_manager | Organization の SSO マネージャー。SSO 設定を管理できます。 | ### 権限 {#organization-permissions} | 権限 | 説明 | | ------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | bot.create_api_key | ボットのAPIキーを作成する | | bot.create_trust_conditions | 信頼条件を作成する | | bot.delete | ボットを削除する | | bot.delete_trust_conditions | 信頼条件を削除する | | bot.list_api_keys | ボットのAPIキーを一覧表示する | | bot.list_trust_conditions | ボットの信頼条件を一覧表示する | | bot.revoke_api_key | APIキーを失効させる | | bot.update_api_key | APIキーのメタデータ(名前、説明)を更新する | | bot.update_info | ボットの基本情報を更新する | | bot.view_info | ボットの基本情報を閲覧する | | integration.delete | インテグレーションを削除する | | integration.edit | インテグレーションを更新する | | integration.get_github_access_token | リソースから GitHub アクセストークンを取得する | | integration.view | インテグレーションの基本情報を閲覧する | | notification_group.delete | 通知グループを削除する | | notification_group.edit | 通知グループの設定を更新する | | notification_group.view | 通知グループの設定を閲覧する | | organization.add_scheduled_task | Takumi が定期的なセキュリティレビューや自動化されたアクションを実行するためのスケジュールタスクを追加する | | organization.correlate_resource | セキュリティグラフ内でリソースを別のリソースと関連付ける | | organization.create_bot | ボットを作成する | | organization.create_chat | Takumi AI アシスタントとの新しいチャットセッションを作成する | | organization.create_integration | インテグレーションを作成する | | organization.create_notification_group | 通知グループを作成する | | organization.create_project | Shisho Cloud プロジェクトを作成する | | organization.create_sso | SSO 設定を追加する | | organization.create_team | チームを作成する | | organization.create_webhooks | Webhook を作成する | | organization.create_workflow | ワークフローを作成する | | organization.delete_address_from_email_allowlist | メール許可リストからメールアドレスを削除する | | organization.delete_assessments | Takumi アセスメントを削除する | | organization.delete_custom_decision_specification | カスタム決定仕様を削除する | | organization.delete_organization | Organization を削除する | | organization.delete_project | Shisho Cloud プロジェクトを削除する | | organization.delete_scheduled_task | Takumiのタスクキューからスケジュールされたタスクを削除する | | organization.delete_source_code_archive | ソースコードアーカイブを削除する | | organization.delete_sso | SSO 設定を削除する | | organization.delete_team | チームを削除する | | organization.delete_webhooks | Webhook を削除する | | organization.describe_assessment | Takumi アセスメントの情報を表示する | | organization.describe_assessment_artifacts | Takumi アセスメントによって生成されたアーティファクト(レポートなど)を一覧表示および詳細表示する | | organization.describe_decision_specification | 決定仕様の詳細を表示する | | organization.dispatch_assessment | 新しい Takumi アセスメントをディスパッチする | | organization.dispatch_workflow | ワークフローを一覧表示する | | organization.get_chat_history | Takumi AI アシスタントとの過去の会話からチャット履歴を取得する | | organization.get_takumi_scope | 許可された GitHub リポジトリや Slack チャンネルなど、Takumi のアクセススコープを閲覧する | | organization.invite_user | ユーザー招待を送信する | | organization.invite_user_with_team | 特定のチームを指定してユーザー招待を送信する | | organization.issue_takumi_guard_token | MDM 経由で開発者マシン向けの Takumi Guard 組織ユーザートークンを発行する。このアクセス権により、ボットが Organization を代表してユーザーごとの tg*org*\* トークンを発行できます。 | | organization.kick_user | ユーザーをキックする | | organization.list_assessments | Takumi アセスメントを一覧表示する | | organization.list_bots | ボットを一覧表示する | | organization.list_chat_metadata | Takumi AI アシスタントとのすべてのチャットセッションのメタデータを一覧表示する | | organization.list_custom_decision_specification | カスタム決定仕様を一覧表示する | | organization.list_events | Organization 内の監査イベントを一覧表示する | | organization.list_integration | インテグレーションを一覧表示する | | organization.list_invitation | 招待を一覧表示する | | organization.list_latest_source_code_references | Organization の最新のソースコード参照を一覧表示する | | organization.list_notification_group | 通知グループを一覧表示する | | organization.list_project | Shisho Cloud プロジェクトを一覧表示する | | organization.list_readable_repo | インテグレーションコンテンツを介して読み取り可能なGitHubリポジトリを一覧表示する | | organization.list_scheduled_tasks | Takumiのために設定されたすべてのスケジュール済みタスクを一覧表示する | | organization.list_source_code_archives | Organization のソースコードアーカイブを一覧表示する | | organization.list_sso | SSO 設定を一覧表示する | | organization.list_team | チームを一覧表示する | | organization.list_user | ユーザー(権限を含む)を一覧表示する | | organization.list_web_application | Organization 内のウェブアプリケーションを一覧表示する | | organization.list_workflow | ユーザーを削除する | | organization.list_workflow_run | ワークフロー実行を一覧表示する | | organization.list_writable_repo | インテグレーションコンテンツを介して書き込み可能なGitHubリポジトリを一覧表示する | | organization.manage_custom_decision_specification | カスタム決定仕様を作成および更新する | | organization.manage_metered_subscription | Runner の有効化・無効化を含む、従量課金制サブスクリプションを管理する | | organization.manage_takumi_billing | クレジットの購入、プランの購読、支払い方法の更新など、Takumi の請求を管理する | | organization.manage_takumi_settings | Active Takumi の設定、Slack インテグレーション、機能の利用設定など、Takumi の設定を管理する | | organization.query_real_data | GraphQL API をクエリして Shisho Cloud に統合された実データを取得する | | organization.register_address_to_email_allowlist | メールアドレスをメール許可リストに追加する | | organization.register_web_application | Organization に新しいウェブアプリケーションを登録する | | organization.revoke_invitation | ユーザー招待を取り消す | | organization.rotate_webhook_secrets | Webhook の署名シークレットをローテーションする | | organization.scan_ports | ポートスキャンを開始してネットワークの露出を検出する | | organization.send_chat_message | Takumi AI アシスタントにチャットメッセージを送信する | | organization.send_confirmation_to_mail_owner | メールアドレスの所有者に確認メールを送信する | | organization.stream_chat_message | Takumi AI アシスタントからのチャットメッセージをリアルタイムでストリーミングする | | organization.triage_decision | 検出結果をトリアージする | | organization.uncorrelate_resource | セキュリティグラフ内でリソースと別のリソースとの関連付けを解除する | | organization.update_assessment_notifications | Takumi アセスメントの通知先を更新する | | organization.update_attack_surface_status | アタックサーフェスのステータス(無視、復元など)を更新する | | organization.update_iam | Organization メンバーに対してロールまたは権限を付与/取り消しする | | organization.update_settings | Organization 設定を更新する | | organization.update_takumi_scope | Takumi がアクセスできる GitHub リポジトリや Slack チャンネルを制御するために、Takumi のアクセススコープを更新する | | organization.upload_source_code_archive | ソースコードアーカイブをアップロードする | | organization.use_datasource_playground | データソースプレイグラウンドを使用する | | organization.verify_notification_channel | 通知チャネルが機能していることを確認する | | organization.view_attack_surfaces | スキャンによって検出されたアタックサーフェスを閲覧する | | organization.view_basic_info | Organization の基本情報を閲覧する | | organization.view_ciem_settings | CIEM 設定を閲覧する | | organization.view_dashboard | リソース詳細なしでリスク統計を含むダッシュボードを閲覧する | | organization.view_decision | リスク統計と各検出結果の詳細をリソース詳細とともに閲覧する | | organization.view_email_allowlist | メール許可リストを閲覧する | | organization.view_exposure | ポートスキャンによって検出されたネットワークの露出を閲覧する | | organization.view_integrated_slack_channels | Slackチャンネルの詳細を閲覧する。この権限は list_integration 権限から分離されており、ソースインテグレーションの詳細を取得する権限がなくてもSlackチャンネルの詳細を閲覧できます。 | | organization.view_metered_subscription | Runner のサブスクリプション詳細を含む、従量課金制サブスクリプションのステータスを閲覧する | | organization.view_permission | Organization 内のユーザーを一覧表示、詳細表示、編集する | | organization.view_resource | リスク統計情報とともに Shisho Cloud に統合されたリソースを一覧表示および詳細表示する | | organization.view_resource_analysis | リソースのリスク分析を閲覧する | | organization.view_runner_job_execution_usage | Runner ジョブの実行使用状況(ジョブ履歴とリポジトリ使用状況を含む)を閲覧する | | organization.view_runner_metrics | Runner のメトリクス(概要統計と履歴データを含む)を閲覧する | | organization.view_runner_trace | Runner の実行トレース(タイムライン、ネットワーク、ファイルの詳細を含む)を閲覧する | | organization.view_settings | Organization 設定を閲覧する | | organization.view_takumi_billing_info | サブスクリプションのステータス、クレジット残高、利用履歴など、Takumi の請求情報を閲覧する | | organization.view_webhooks | Webhook を閲覧する | | organization.view_workflow_run | ワークフロー実行を閲覧する | | takumi_workplace.delete | ワークプレイスを削除する | | takumi_workplace.edit | ワークプレイスとその設定を更新する | | takumi_workplace.view | ワークプレイスとその設定を閲覧する | | trust_condition.delete | 信頼条件を削除する | | trust_condition.update | 信頼条件を更新する | | trust_condition.view | 信頼条件を閲覧する | | web_application.delete | ウェブアプリケーションを削除する | | web_application.delete_endpoint | エンドポイントを削除する | | web_application.delete_precondition | 事前条件を削除する | | web_application.delete_scenario | シナリオを削除する | | web_application.describe_authorization_policy | 認可ポリシー設定を閲覧する | | web_application.find_endpoints | ウェブアプリケーションのエンドポイントを検出する | | web_application.list_endpoint | ウェブアプリケーションのエンドポイントを一覧表示する | | web_application.list_precondition | ウェブアプリケーションの事前条件を一覧表示する | | web_application.list_scenario | ウェブアプリケーションのシナリオを一覧表示する | | web_application.register_precondition | アプリケーションの新しい事前条件を登録する | | web_application.register_scenario | 新しいシナリオを登録する | | web_application.scan | ウェブアプリケーションでセキュリティスキャンを実行する | | web_application.update | ウェブアプリケーションの構成と設定を更新する | | web_application.update_authorization_policy | 認可ポリシー設定を更新する | | web_application.update_endpoint | 既存のエンドポイント定義を更新する | | web_application.update_precondition | 既存の事前条件を更新する | | web_application.update_scenario | 既存のシナリオを更新する | | web_application.view | ウェブアプリケーションとその基本情報を閲覧する | | web_application.view_find_job | 検出ジョブの履歴を閲覧する | | workflow.delete | ワークフローを削除する | | workflow.dispatch | ワークフローを実行する | | workflow.edit | ワークフローを更新する | | workflow.view | ワークフローを閲覧する | | workflow_run.view | ワークフロー実行(終了コードと実行の出力を含む)を閲覧する | | workflow_snapshot.view | ワークフロースナップショットを閲覧する | ### ロールと権限のマトリックス {#organization-matrix} | 権限 | organization/assessor | organization/auditor | organization/browser | organization/integration_manager | organization/member | organization/owner | organization/sso_manager | organization/takumi_guard_token_issuer | organization/takumi_manager | organization/takumi_runner_user | organization/takumi_user | organization/triager | organization/user_browser | | ------------------------------------------------- | --------------------- | -------------------- | -------------------- | -------------------------------- | ------------------- | ------------------ | ------------------------ | -------------------------------------- | --------------------------- | ------------------------------- | ------------------------ | -------------------- | ------------------------- | | bot.create_api_key | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | bot.create_trust_conditions | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | bot.delete | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | bot.delete_trust_conditions | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | bot.list_api_keys | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | bot.list_trust_conditions | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | bot.revoke_api_key | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | bot.update_api_key | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | bot.update_info | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | bot.view_info | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | integration.delete | ❌ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | integration.edit | ❌ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | integration.get_github_access_token | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | integration.view | ❌ | ✅ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | notification_group.delete | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | notification_group.edit | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | notification_group.view | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.add_scheduled_task | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.correlate_resource | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.create_bot | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.create_chat | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.create_integration | ❌ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.create_notification_group | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.create_project | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.create_sso | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.create_team | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.create_webhooks | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.create_workflow | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.delete_address_from_email_allowlist | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.delete_assessments | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.delete_custom_decision_specification | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.delete_organization | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.delete_project | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.delete_scheduled_task | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.delete_source_code_archive | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.delete_sso | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.delete_team | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.delete_webhooks | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.describe_assessment | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.describe_assessment_artifacts | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.describe_decision_specification | ❌ | ✅ | ✅ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.dispatch_assessment | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.dispatch_workflow | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.get_chat_history | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.get_takumi_scope | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.invite_user | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.invite_user_with_team | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.issue_takumi_guard_token | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.kick_user | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.list_assessments | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.list_bots | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.list_chat_metadata | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.list_custom_decision_specification | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.list_events | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.list_integration | ❌ | ✅ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.list_invitation | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.list_latest_source_code_references | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.list_notification_group | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | | organization.list_project | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.list_readable_repo | ❌ | ✅ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.list_scheduled_tasks | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.list_source_code_archives | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.list_sso | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.list_team | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | | organization.list_user | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | | organization.list_web_application | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.list_workflow | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.list_workflow_run | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.list_writable_repo | ❌ | ✅ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.manage_custom_decision_specification | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.manage_metered_subscription | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.manage_takumi_billing | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.manage_takumi_settings | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.query_real_data | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.register_address_to_email_allowlist | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.register_web_application | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.revoke_invitation | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.rotate_webhook_secrets | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.scan_ports | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.send_chat_message | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.send_confirmation_to_mail_owner | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.stream_chat_message | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.triage_decision | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.uncorrelate_resource | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.update_assessment_notifications | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.update_attack_surface_status | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.update_iam | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.update_settings | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.update_takumi_scope | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.upload_source_code_archive | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.use_datasource_playground | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.verify_notification_channel | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.view_attack_surfaces | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.view_basic_info | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | | organization.view_ciem_settings | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.view_dashboard | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.view_decision | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.view_email_allowlist | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.view_exposure | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.view_integrated_slack_channels | ❌ | ✅ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.view_metered_subscription | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ | | organization.view_permission | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | organization.view_resource | ✅ | ✅ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.view_resource_analysis | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | organization.view_runner_job_execution_usage | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ | | organization.view_runner_metrics | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ | | organization.view_runner_trace | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ | | organization.view_settings | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | organization.view_takumi_billing_info | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ | | organization.view_webhooks | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | organization.view_workflow_run | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | takumi_workplace.delete | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | takumi_workplace.edit | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | takumi_workplace.view | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | | trust_condition.delete | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | trust_condition.update | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | trust_condition.view | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | | web_application.delete | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.delete_endpoint | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.delete_precondition | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.delete_scenario | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.describe_authorization_policy | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.find_endpoints | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.list_endpoint | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.list_precondition | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.list_scenario | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.register_precondition | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.register_scenario | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.scan | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.update | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.update_authorization_policy | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.update_endpoint | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.update_precondition | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.update_scenario | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | web_application.view | ✅ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | | web_application.view_find_job | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | workflow.delete | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | workflow.dispatch | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | workflow.edit | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | workflow.view | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | workflow_run.view | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | | workflow_snapshot.view | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ## 概念: project {#project} プロジェクトは、Shisho Cloud の2番目の階層であり、Organization が所有しています。 プロジェクトにはリソースを集約でき、また、Shisho Cloud プリンシパルがプロジェクト内のリソースにアクセスするためのロールを定義します。 Organization は複数のプロジェクトを持つことができ、Organization のロールはプロジェクトに継承されます。 プロジェクトのロールは、他のプロジェクトや Organization に影響を与えません。 ### ロール {#project-roles} | ロール | 説明 | | --------------- | ---------------------------------------------------------------------------------------------- | | project/owner | プロジェクトの所有者であり、プロジェクトに対するすべてのアクションを実行できます。 | | project/triager | トリアージ担当者。各検出結果のリスク統計と詳細を閲覧し、これらの検出結果をトリアージできます。 | | project/viewer | 閲覧者。各検出結果のリスク統計と詳細を閲覧できます。 | ### 権限 {#project-permissions} | 権限 | 説明 | | ------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | bot.create_api_key | ボットのAPIキーを作成する | | bot.create_trust_conditions | 信頼条件を作成する | | bot.delete | ボットを削除する | | bot.delete_trust_conditions | 信頼条件を削除する | | bot.list_api_keys | ボットのAPIキーを一覧表示する | | bot.list_trust_conditions | ボットの信頼条件を一覧表示する | | bot.revoke_api_key | APIキーを失効させる | | bot.update_api_key | APIキーのメタデータ(名前、説明)を更新する | | bot.update_info | ボットの基本情報を更新する | | bot.view_info | ボットの基本情報を閲覧する | | project.add_permission | プロジェクトの権限テーブルにプリンシパルを追加する | | project.create_default_notification_channels | プロジェクトのデフォルト通知チャネルを作成する | | project.create_notification_configurations | プロジェクトの通知設定を作成する | | project.delete | プロジェクトを削除する | | project.delete_default_notification_channels | プロジェクトのデフォルト通知チャネルを削除する | | project.delete_notification_configurations | プロジェクトの通知設定を削除する | | project.delete_permission | プロジェクトの権限テーブルからプリンシパルを削除する | | project.describe_organization_email_allowlist_item | プロジェクトに登録されているメール許可リストのエントリを閲覧する。これは Organization との共有リソースのため、この権限をプリンシパルに許可すると Organization 全体のメール許可リストに影響する場合があります。 | | project.describe_organization_integrated_slack_channel | Organizationに統合され、プロジェクトに紐づけられたSlackチャンネルの詳細を閲覧する。これは Organization との共有リソースのため、この権限を許可すると Organization 全体のSlackチャンネル詳細に影響する場合があります。 | | project.describe_organization_notification_group | プロジェクトに紐づけられた通知グループの詳細を閲覧する。これは Organization との共有リソースのため、この権限を許可すると Organization 全体のSlackチャンネル詳細に影響する場合があります。 | | project.dispatch_workflow | ワークフローをディスパッチし、Shisho Cloud Organization全体に影響を与えて新しいスキャン結果を生成できるようにする。ワークフローはOrganizationとの共有リソースであり、この権限をプリンシパルに許可すると、Organization全体のワークフローディスパッチに影響する可能性がある点に注意してください。 | | project.link_resource | プロジェクトスコープにリソースを追加する | | project.list_bots | プロジェクトスコープ内のボットを一覧表示および詳細表示する | | project.list_notification_configurations | プロジェクトの通知設定を一覧表示する | | project.list_scopable_entities | スコープ可能なエンティティを一覧表示する | | project.triage_decision | 検出結果をトリアージする。判定データは Organization との共有リソースのため、この権限を付与するとプリンシパルがその共有データを変更できるようになる場合があります。 | | project.unlink_resource | プロジェクトスコープからリソースを削除する | | project.update_default_notification_channels | プロジェクトのデフォルト通知チャネルを更新する | | project.update_iam | プリンシパルに対してプロジェクトレベルの権限を付与/取り消しする | | project.update_info | プロジェクトの基本情報を更新する | | project.update_notification_configurations | プロジェクトの通知設定を更新する | | project.upsert_organization_email_allowlist | プロジェクトのデフォルト通知用にメール許可リストにメールアドレスをupsertする。これは Organization との共有リソースのため、この権限を許可すると Organization 全体のメール許可リストに影響する場合があります。 | | project.view | プロジェクトの基本情報を閲覧する | | project.view_dashboard | リソース詳細なしでリスク統計を含むダッシュボードを閲覧する | | project.view_decision | リスク統計と各検出結果の詳細をリソース詳細とともに閲覧する。判定データは Organization との共有リソースのため、この権限を付与するとプリンシパルがその共有データを読み取れるようになる場合があります。 | | project.view_default_notification_channels | プロジェクトのデフォルト通知チャネルを閲覧する | | project.view_notification_configurations | プロジェクトの通知設定を閲覧する | | project.view_permission | プロジェクトスコープ内のユーザーを一覧表示および詳細表示する | | project.view_resource | プロジェクトスコープ内のリソースを一覧表示および詳細表示する。リソース自体は Organization との共有リソースのため、この権限を付与するとプリンシパルがその共有データを読み取れるようになる場合があります。 | | project.view_resource_analysis | リソースのリスク分析を閲覧する。 | | trust_condition.delete | 信頼条件を削除する | | trust_condition.update | 信頼条件を更新する | | trust_condition.view | 信頼条件を閲覧する | ### ロールと権限のマトリックス {#project-matrix} | 権限 | organization/assessor | organization/auditor | organization/browser | organization/integration_manager | organization/owner | organization/takumi_manager | organization/triager | project/owner | project/triager | project/viewer | | ------------------------------------------------------ | --------------------- | -------------------- | -------------------- | -------------------------------- | ------------------ | --------------------------- | -------------------- | ------------- | --------------- | -------------- | | bot.create_api_key | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | bot.create_trust_conditions | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | bot.delete | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | bot.delete_trust_conditions | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | bot.list_api_keys | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | | bot.list_trust_conditions | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | | bot.revoke_api_key | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | bot.update_api_key | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | bot.update_info | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | bot.view_info | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | | project.add_permission | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.create_default_notification_channels | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.create_notification_configurations | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.delete | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | | project.delete_default_notification_channels | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.delete_notification_configurations | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.delete_permission | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.describe_organization_email_allowlist_item | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ❌ | ✅ | ❌ | ❌ | | project.describe_organization_integrated_slack_channel | ❌ | ✅ | ❌ | ✅ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.describe_organization_notification_group | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ | | project.dispatch_workflow | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.link_resource | ✅[^1-21-0] | ✅[^1-21-1] | ✅[^1-21-2] | ❌ | ✅[^1-21-4] | ❌ | ✅[^1-21-6] | ✅[^1-21-7] | ❌ | ❌ | | project.list_bots | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | | project.list_notification_configurations | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | | project.list_scopable_entities | ✅[^1-24-0] | ✅[^1-24-1] | ✅[^1-24-2] | ❌ | ✅[^1-24-4] | ❌ | ✅[^1-24-6] | ✅[^1-24-7] | ❌ | ❌ | | project.triage_decision | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ❌ | | project.unlink_resource | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.update_default_notification_channels | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.update_iam | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.update_info | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.update_notification_configurations | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.upsert_organization_email_allowlist | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ✅ | ❌ | ❌ | | project.view | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | | project.view_dashboard | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | | project.view_decision | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | | project.view_default_notification_channels | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | project.view_notification_configurations | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | | project.view_permission | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | | project.view_resource | ✅ | ✅ | ✅ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | | project.view_resource_analysis | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | | trust_condition.delete | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | trust_condition.update | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | | trust_condition.view | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | [^1-21-0]: `project.link_resource` を実行するには、`organization/assessor` には `project/owner` も必要です。 [^1-21-1]: `project.link_resource` を実行するには、`organization/auditor` には `project/owner` も必要です。 [^1-21-2]: `project.link_resource` を実行するには、`organization/browser` には `project/owner` も必要です。 [^1-21-4]: `project.link_resource` を実行するには、`organization/owner` には `project/owner` も必要です。 [^1-21-6]: `project.link_resource` を実行するには、`organization/triager` には `project/owner` も必要です。 [^1-21-7]: `project.link_resource` を実行するには、`project/owner` には `organization/assessor` も必要です。 [^1-24-0]: `project.list_scopable_entities` を実行するには、`organization/assessor` には `project/owner` も必要です。 [^1-24-1]: `project.list_scopable_entities` を実行するには、`organization/auditor` には `project/owner` も必要です。 [^1-24-2]: `project.list_scopable_entities` を実行するには、`organization/browser` には `project/owner` も必要です。 [^1-24-4]: `project.list_scopable_entities` を実行するには、`organization/owner` には `project/owner` も必要です。 [^1-24-6]: `project.list_scopable_entities` を実行するには、`organization/triager` には `project/owner` も必要です。 [^1-24-7]: `project.list_scopable_entities` を実行するには、`project/owner` には `organization/assessor` も必要です。 ## 概念: team {#team} チームは、ユーザーをグループ化する Shisho Cloud プリンシパルです。 チームにはロールを付与でき、そのロールはチーム内のすべてのユーザーに適用されます。 ### ロール {#team-roles} | ロール | 説明 | | ----------- | ---------------------------------------------------------------------------------------------------------------------------------------- | | team/owner | チームの所有者であり、チームに対するすべてのアクションを実行できます。なお、チームの所有者が Organization の所有者であるとは限りません。 | | team/member | チームのメンバーであり、チームに対するアクションを実行できます。 | ### 権限 {#team-permissions} | 権限 | 説明 | | ---------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | team.act_as_team | チームとして行動する。チームが他のエンティティ(例: Organization、Shisho Cloud プロジェクトなど)に対するロールを持っている場合にチームの権限でアクションを実行できます。 | | team.delete | チームを削除する | | team.kick_user | チームからユーザーを削除する | | team.link_user | チームにユーザーを追加する | | team.update_iam | メンバーに対して所有者権限を付与/取り消しする | | team.update_info | チームの基本情報を更新する | | team.view | チームの基本情報を閲覧する | ### ロールと権限のマトリックス {#team-matrix} | 権限 | organization/auditor | organization/owner | organization/takumi_manager | organization/triager | organization/user_browser | team/member | team/owner | | ---------------- | -------------------- | ------------------ | --------------------------- | -------------------- | ------------------------- | ----------- | ---------- | | team.act_as_team | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | | team.delete | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | | team.kick_user | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | | team.link_user | ✅[^2-3-0] | ✅[^2-3-1] | ✅[^2-3-2] | ✅[^2-3-3] | ✅[^2-3-4] | ❌ | ✅[^2-3-6] | | team.update_iam | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | | team.update_info | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | | team.view | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | [^2-3-0]: `team.link_user` を実行するには、`organization/auditor` には `team/owner` も必要です。 [^2-3-1]: `team.link_user` を実行するには、`organization/owner` には `team/owner` も必要です。 [^2-3-2]: `team.link_user` を実行するには、`organization/takumi_manager` には `team/owner` も必要です。 [^2-3-3]: `team.link_user` を実行するには、`organization/triager` には `team/owner` も必要です。 [^2-3-4]: `team.link_user` を実行するには、`organization/user_browser` には `team/owner` も必要です。 [^2-3-6]: `team.link_user` を実行するには、`team/owner` には `organization/takumi_manager` も必要です。