メインコンテンツまでスキップ

権限とロール

Organization レベルの権限とロール

Organization は、Shisho Cloud の最上位の階層です。 基本的には会社に対応し、すべてのリソースとユーザーを含みます。

ロールの種類

ロール説明
organization/owner組織全体の所有者であり、組織に対するすべてのアクションを実行できます。
organization/member組織のメンバーであり、組織に対する最小限の権限を持ちます。
organization/auditor組織の監査人で、組織内のすべてのリソースとユーザーを閲覧できますが、変更を加えることはできません。
organization/triagerトリアージ担当者。リスク統計や、各検出結果の詳細を閲覧し、これらの検出結果をトリアージできます。
organization/browser組織の閲覧者で、リスク統計なしで組織内のすべてのリソースを閲覧できます。
organization/user_browser組織のユーザー閲覧者で、組織内のすべてのユーザーとチームを閲覧できます。
organization/assessor組織の評価者で、評価のために組織内のすべてのリソースを閲覧できます。
organization/integration_manager組織のインテグレーション管理者で、インテグレーションを管理できます。
organization/takumi_manager組織の Takumi マネージャーで、Takumi 関連の機能を管理できます。

権限の一覧

権限説明
bot.create_trust_conditions信頼条件を作成する
bot.deleteボットを削除する
bot.delete_trust_conditions信頼条件を削除する
bot.list_trust_conditionsボットの信頼条件を一覧表示する
bot.update_infoボットの基本情報を更新する
bot.view_infoボットの基本情報を閲覧する
integration.deleteインテグレーションを削除する
integration.editインテグレーションを更新する
integration.get_github_access_tokenリソースから GitHub アクセストークンを取得する
integration.viewインテグレーションの基本情報を閲覧する
notification_group.delete通知グループを削除する
notification_group.edit通知グループの設定を更新する
notification_group.view通知グループの設定を閲覧する
organization.create_botボットを作成する
organization.create_integrationインテグレーションを作成する
organization.create_notification_group通知グループを作成する
organization.create_projectShisho Cloud プロジェクトを作成する
organization.create_ssoSSO 設定を追加する
organization.create_teamチームを作成する
organization.create_workflowワークフローを作成する
organization.delete_address_from_email_allowlistメール許可リストからメールアドレスを削除する
organization.delete_custom_decision_specificationカスタム決定仕様を削除する
organization.delete_organization組織を削除する
organization.delete_projectShisho Cloud プロジェクトを削除する
organization.delete_ssoSSO 設定を削除する
organization.delete_teamチームを削除する
organization.describe_decision_specification決定仕様の詳細を表示する
organization.dispatch_workflowワークフローを一覧表示する
organization.invite_userユーザー招待を送信する
organization.kick_userユーザーをキックする
organization.list_botsボットを一覧表示する
organization.list_custom_decision_specificationカスタム決定仕様を一覧表示する
organization.list_integrationインテグレーションを一覧表示する
organization.list_invitation招待を一覧表示する
organization.list_notification_group通知グループを一覧表示する
organization.list_projectShisho Cloud プロジェクトを一覧表示する
organization.list_ssoSSO 設定を一覧表示する
organization.list_teamチームを一覧表示する
organization.list_userユーザー(権限を含む)を一覧表示する
organization.list_workflowユーザーを削除する
organization.list_workflow_runワークフロー実行を一覧表示する
organization.manage_custom_decision_specificationカスタム決定仕様を作成および更新する
organization.query_real_dataGraphQL API をクエリして Shisho Cloud に統合された実データを取得する
organization.register_address_to_email_allowlistメールアドレスをメール許可リストに追加する
organization.send_confirmation_to_mail_ownerメールアドレスの所有者に確認メールを送信する
organization.triage_decision検出結果をトリアージする
organization.update_iam組織メンバーに対してロールまたは権限を付与/取り消しする
organization.update_settings組織設定を更新する
organization.use_datasource_playgroundデータソースプレイグラウンドを使用する
organization.verify_notification_channel通知チャネルが機能していることを確認する
organization.view_basic_info組織の基本情報を閲覧する
organization.view_dashboardリソース詳細なしでリスク統計を含むダッシュボードを閲覧する
organization.view_decisionリスク統計と各検出結果の詳細をリソース詳細とともに閲覧する
organization.view_email_allowlistメール許可リストを閲覧する
organization.view_resourceリスク統計情報とともに Shisho Cloud に統合されたリソースを一覧表示および詳細表示する
organization.view_resource_analysisリソースのリスク分析を閲覧する
organization.view_settings組織設定を閲覧する
organization.view_workflow_runワークフロー実行を閲覧する
trust_condition.delete信頼条件を削除する
trust_condition.update信頼条件を更新する
trust_condition.view信頼条件を閲覧する
workflow.deleteワークフローを削除する
workflow.dispatchワークフローを実行する
workflow.editワークフローを更新する
workflow.viewワークフローを閲覧する
workflow_run.viewワークフロー実行(終了コードと実行の出力を含む)を閲覧する
workflow_snapshot.viewワークフロースナップショットを閲覧する

ロールと権限のマッピング

権限organization/assessororganization/auditororganization/browserorganization/integration_managerorganization/memberorganization/ownerorganization/takumi_managerorganization/triagerorganization/user_browser
bot.create_trust_conditions
bot.delete
bot.delete_trust_conditions
bot.list_trust_conditions
bot.update_info
bot.view_info
integration.delete
integration.edit
integration.get_github_access_token
integration.view
notification_group.delete
notification_group.edit
notification_group.view
organization.create_bot
organization.create_integration
organization.create_notification_group
organization.create_project
organization.create_sso
organization.create_team
organization.create_workflow
organization.delete_address_from_email_allowlist
organization.delete_custom_decision_specification
organization.delete_organization
organization.delete_project
organization.delete_sso
organization.delete_team
organization.describe_decision_specification
organization.dispatch_workflow
organization.invite_user
organization.kick_user
organization.list_bots
organization.list_custom_decision_specification
organization.list_integration
organization.list_invitation
organization.list_notification_group
organization.list_project
organization.list_sso
organization.list_team
organization.list_user
organization.list_workflow
organization.list_workflow_run
organization.manage_custom_decision_specification
organization.query_real_data
organization.register_address_to_email_allowlist
organization.send_confirmation_to_mail_owner
organization.triage_decision
organization.update_iam
organization.update_settings
organization.use_datasource_playground
organization.verify_notification_channel
organization.view_basic_info
organization.view_dashboard
organization.view_decision
organization.view_email_allowlist
organization.view_resource
organization.view_resource_analysis
organization.view_settings
organization.view_workflow_run
trust_condition.delete
trust_condition.update
trust_condition.view
workflow.delete
workflow.dispatch
workflow.edit
workflow.view
workflow_run.view
workflow_snapshot.view

Project レベルの権限とロール

Project は、Shisho Cloud の2番目の階層であり、Organization が所有しています。 Project にはリソースを集約でき、また、Shisho Cloud プリンシパルが Project 内のリソースにアクセスするためのロールを定義します。

Organization は複数の Project を持つことができ、Organization のロールは Project に継承されます。 Project のロールは、他の Project や Organization に影響を与えません。

ロールの種類

ロール説明
project/ownerProject の所有者であり、Project に対するすべてのアクションを実行できます。
project/triagerトリアージ担当者。各検出結果のリスク統計と詳細を閲覧し、これらの検出結果をトリアージできます。
project/viewer閲覧者。各検出結果のリスク統計と詳細を閲覧できます。

権限の一覧

権限説明
bot.create_trust_conditions信頼条件を作成する
bot.deleteボットを削除する
bot.delete_trust_conditions信頼条件を削除する
bot.list_trust_conditionsボットの信頼条件を一覧表示する
bot.update_infoボットの基本情報を更新する
bot.view_infoボットの基本情報を閲覧する
project.add_permissionProject の権限テーブルにプリンシパルを追加する
project.create_default_notification_channelsProject のデフォルト通知チャネルを作成する
project.deleteProject を削除する
project.delete_default_notification_channelsProject のデフォルト通知チャネルを削除する
project.delete_permissionProject の権限テーブルからプリンシパルを削除する
project.dispatch_workflowワークフローを実行し、Shisho Cloud Organization 全体に影響を与えて新しいスキャン結果を生成できるようにする
project.link_resourceProject スコープにリソースを追加する
project.list_botsProject スコープ内のボットを一覧表示および詳細表示する
project.list_scopable_entitiesスコープ可能なエンティティを一覧表示する
project.triage_decision検出結果をトリアージする
project.unlink_resourceProject スコープからリソースを削除する
project.update_default_notification_channelsProject のデフォルト通知チャネルを更新する
project.update_iamプリンシパルに対して Project レベルの権限を付与/取り消しする
project.update_infoProject の基本情報を更新する
project.viewProject の基本情報を閲覧する
project.view_dashboardリソース詳細なしでリスク統計を含むダッシュボードを閲覧する
project.view_decisionリスク統計と各検出結果の詳細をリソース詳細とともに閲覧する
project.view_default_notification_channelsProject のデフォルト通知チャネルを閲覧する
project.view_permissionProject スコープ内のユーザーを一覧表示および詳細表示する
project.view_resourceProject スコープ内のリソースを一覧表示および詳細表示する
project.view_resource_analysisリソースのリスク分析を閲覧する
trust_condition.delete信頼条件を削除する
trust_condition.update信頼条件を更新する
trust_condition.view信頼条件を閲覧する

ロールと権限のマッピング

権限organization/assessororganization/auditororganization/browserorganization/ownerorganization/triagerproject/ownerproject/triagerproject/viewer
bot.create_trust_conditions
bot.delete
bot.delete_trust_conditions
bot.list_trust_conditions
bot.update_info
bot.view_info
project.add_permission
project.create_default_notification_channels
project.delete
project.delete_default_notification_channels
project.delete_permission
project.dispatch_workflow
project.link_resource123456
project.list_bots
project.list_scopable_entities789101112
project.triage_decision
project.unlink_resource
project.update_default_notification_channels
project.update_iam
project.update_info
project.view
project.view_dashboard
project.view_decision
project.view_default_notification_channels
project.view_permission
project.view_resource
project.view_resource_analysis
trust_condition.delete
trust_condition.update
trust_condition.view

Team レベルの権限とロール

Team は、ユーザーをグループ化する Shisho Cloud プリンシパルです。 Team にはロールを付与でき、そのロールは Team 内のすべてのユーザーに適用されます。

ロールの種類

ロール説明
team/ownerTeam の所有者であり、Team に対するすべてのアクションを実行できます。なお、Team の所有者が Organization の所有者であるとは限りません。
team/memberTeam のメンバーであり、Team に対するアクションを実行できます。

権限の一覧

権限説明
team.act_as_teamTeam として行動する。Team が他のエンティティ(例: Organization、Shisho Cloud Project など)に対するロールを持っている場合に Team の権限でアクションを実行できます。
team.deleteTeam を削除する
team.kick_userTeam からユーザーを削除する
team.link_userTeam にユーザーを追加する
team.update_iamメンバーに対して所有者権限を付与/取り消しする
team.update_infoTeam の基本情報を更新する
team.viewTeam の基本情報を閲覧する

ロールと権限のマッピング

権限organization/auditororganization/ownerorganization/takumi_managerorganization/triagerorganization/user_browserteam/memberteam/owner
team.act_as_team
team.delete
team.kick_user
team.link_user1314151617
team.update_iam
team.update_info
team.view

Footnotes

  1. project.link_resource を実行するには、organization/assessorproject/owner も必要です。

  2. project.link_resource を実行するには、organization/auditorproject/owner も必要です。

  3. project.link_resource を実行するには、organization/browserproject/owner も必要です。

  4. project.link_resource を実行するには、organization/ownerproject/owner も必要です。

  5. project.link_resource を実行するには、organization/triagerproject/owner も必要です。

  6. project.link_resource を実行するには、project/ownerorganization/assessor も必要です。

  7. project.list_scopable_entities を実行するには、organization/assessorproject/owner も必要です。

  8. project.list_scopable_entities を実行するには、organization/auditorproject/owner も必要です。

  9. project.list_scopable_entities を実行するには、organization/browserproject/owner も必要です。

  10. project.list_scopable_entities を実行するには、organization/ownerproject/owner も必要です。

  11. project.list_scopable_entities を実行するには、organization/triagerproject/owner も必要です。

  12. project.list_scopable_entities を実行するには、project/ownerorganization/assessor も必要です。

  13. team.link_user を実行するには、organization/auditorteam/owner も必要です。

  14. team.link_user を実行するには、organization/ownerteam/owner も必要です。

  15. team.link_user を実行するには、organization/triagerteam/owner も必要です。

  16. team.link_user を実行するには、organization/user_browserteam/owner も必要です。

  17. team.link_user を実行するには、team/ownerorganization/user_browser も必要です。