権限とロール
Organization レベルの権限とロール
Organization は、Shisho Cloud の最上位の階層です。 基本的には会社に対応し、すべてのリソースとユーザーを含みます。
ロールの一覧
ロール | 説明 |
---|---|
organization/owner | 組織全体の所有者であり、組織に対するすべてのアクションを実行できます。 |
organization/member | 組織のメンバーであり、組織に対する最小限の権限を持ちます。 |
organization/auditor | 組織の監査人で、組織内のすべてのリソースとユーザーを表示できますが、変更を加えることはできません。 |
organization/browser | 組織の閲覧者で、リスク統計なしで組織内のすべてのリソースを表示できます。 |
organization/user_browser | 組織のユーザー閲覧者で、組織内のすべてのユーザーとチームを表示できます。 |
organization/assessor | 組織の評価者で、評価のために組織内のすべてのリソースを表示できます。 |
権限の一覧
権限 | 説明 |
---|---|
bot.create_trust_conditions | 信頼条件の作成 |
bot.delete | ボットの削除 |
bot.delete_trust_conditions | 信頼条件の削除 |
bot.list_trust_conditions | ボットの信頼条件の一覧 |
bot.update_info | ボットの基本情報の更新 |
bot.view_info | ボットの基本情報の表示 |
integration.delete | インテグレーションの削除 |
integration.edit | インテグレーションの更新 |
integration.get_github_access_token | 連携された GitHub アクセストークンの取得 |
integration.view | インテグレーションの基本情報の表示 |
notification_group.delete | 通知グループの削除 |
notification_group.edit | 通知グループの設定の更新 |
notification_group.view | 通知グループの設定の表示 |
organization.create_bot | ボットの作成 |
organization.create_integration | インテグレーションの作成 |
organization.create_notification_group | 通知グループの作成 |
organization.create_project | Shisho Cloud プロジェクトの作成 |
organization.create_sso | SSO 設定の追加 |
organization.create_team | チームの作成 |
organization.create_workflow | ワークフローの作成 |
organization.delete_address_from_email_allowlist | メール許可リストからのメールアドレスの削除 |
organization.delete_custom_decision_specification | カスタム決定仕様の削除 |
organization.delete_organization | 組織の削除 |
organization.delete_sso | SSO 設定の削除 |
organization.delete_team | チームの削除 |
organization.describe_decision_specification | 決定仕様の説明 |
organization.dispatch_workflow | ワークフローの実行 |
organization.invite_user | ユーザー招待の送信 |
organization.kick_user | ユーザーの作成 |
organization.list_bots | ボットの一覧 |
organization.list_custom_decision_specification | カスタム決定仕様の一覧 |
organization.list_integration | インテグレーションの一覧 |
organization.list_invitation | 招待の一覧 |
organization.list_notification_group | 通知グループの一覧 |
organization.list_project | Shisho Cloud プロジェクトの一覧 |
organization.list_sso | SSO 設定の一覧 |
organization.list_team | チームの一覧 |
organization.list_user | ユーザーの一覧 |
organization.list_workflow | ユーザーの削除 |
organization.list_workflow_run | ワークフローの実行の一覧 |
organization.manage_custom_decision_specification | カスタム決定仕様の作成と更新 |
organization.query_real_data | Shisho Cloud に統合された実際のデータの取得 |
organization.register_address_to_email_allowlist | メール許可リストへのメールアドレスの追加 |
organization.send_confirmation_to_mail_owner | メールアドレスの所有者への確認メールの送信 |
organization.triage_decision | 所見のトリアージ |
organization.update_iam | 組織メンバーへのロールまたは権限の付与/取り消し |
organization.update_settings | 組織設定の更新 |
organization.use_datasource_playground | データソースプレイグラウンドの使用 |
organization.verify_notification_channel | 通知チャネルが機能していることの確認 |
organization.view_basic_info | 組織の基本情報の表示 |
organization.view_dashboard | ダッシュボードの表示 |
organization.view_decision | 検査結果の詳細表示 |
organization.view_email_allowlist | メール許可リストの表示 |
organization.view_resource | リソースの一覧 |
organization.view_resource_analysis | リソースのリスク分析の表示 |
organization.view_settings | 組織設定の表示 |
trust_condition.delete | 信頼条件の削除 |
trust_condition.update | 信頼条件の更新 |
trust_condition.view | 信頼条件の表示 |
workflow.delete | ワークフローの削除 |
workflow.dispatch | ワークフローの実行 |
workflow.edit | ワークフローの更新 |
workflow.view | ワークフローの表示 |
workflow_run.view | ワークフローの実行詳細の表示(終了コードと実行の出力などを含む) |
workflow_snapshot.view | ワークフロースナップショットの表示 |
ロールと権限のマッピング
権限 | organization/assessor | organization/auditor | organization/browser | organization/member | organization/owner | organization/user_browser |
---|---|---|---|---|---|---|
bot.create_trust_conditions | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
bot.delete | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
bot.delete_trust_conditions | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
bot.list_trust_conditions | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
bot.update_info | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
bot.view_info | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
integration.delete | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
integration.edit | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
integration.get_github_access_token | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ |
integration.view | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
notification_group.delete | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
notification_group.edit | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
notification_group.view | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.create_bot | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.create_integration | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.create_notification_group | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.create_project | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.create_sso | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.create_team | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.create_workflow | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.delete_address_from_email_allowlist | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.delete_custom_decision_specification | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.delete_organization | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.delete_sso | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.delete_team | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.describe_decision_specification | ❌ | ✅ | ✅ | ✅ | ✅ | ❌ |
organization.dispatch_workflow | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.invite_user | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.kick_user | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.list_bots | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
organization.list_custom_decision_specification | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
organization.list_integration | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
organization.list_invitation | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.list_notification_group | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
organization.list_project | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
organization.list_sso | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
organization.list_team | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ |
organization.list_user | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ |
organization.list_workflow | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
organization.list_workflow_run | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
organization.manage_custom_decision_specification | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.query_real_data | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.register_address_to_email_allowlist | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.send_confirmation_to_mail_owner | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.triage_decision | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.update_iam | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.update_settings | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.use_datasource_playground | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.verify_notification_channel | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
organization.view_basic_info | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
organization.view_dashboard | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
organization.view_decision | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
organization.view_email_allowlist | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
organization.view_resource | ✅ | ✅ | ✅ | ❌ | ✅ | ❌ |
organization.view_resource_analysis | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
organization.view_settings | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
trust_condition.delete | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
trust_condition.update | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
trust_condition.view | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
workflow.delete | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
workflow.dispatch | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
workflow.edit | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
workflow.view | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
workflow_run.view | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
workflow_snapshot.view | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ |
Project レベルの権限とロール
Project は、Shisho Cloud の2番目の階層であり、Organization が所有しています。 Project にはリソースを集約でき、また、Shisho Cloud プリンシパルが Project 内のリソースにアクセスするためのロールを定義します。
Organization は複数の project を持つことができ、organization のロールは Project に継承されます。 Project のロールは、他の Project や Organization に影響を与えません。
ロールの一覧
ロール | 説明 |
---|---|
project/owner | Project Project に対するすべてのアクションを実行できます。 |
project/triager | トリアージ担当者。各検出結果のリスク統計と詳細を表示し、これらの検出結果をトリアージできます。 |
project/viewer | 閲覧者。各検出結果のリスク統計と詳細を表示できます。 |
権限の一覧
権限 | 説明 |
---|---|
bot.create_trust_conditions | 信頼条件の作成 |
bot.delete | ボットの削除 |
bot.delete_trust_conditions | 信頼条件の削除 |
bot.list_trust_conditions | ボットの信頼条件の一覧 |
bot.update_info | ボットの基本情報の更新 |
bot.view_info | ボットの基本情報の表示 |
project.add_permission | project に紐づく権限の変更(追加) |
project.create_default_notification_channels | project のデフォルト通知チャネルの作成 |
project.delete | project の削除 |
project.delete_default_notification_channels | project のデフォルト通知チャネルの削除 |
project.delete_permission | project に紐づく権限の変更(削除) |
project.dispatch_workflow | project 内のリソースに対するワークフローの実行 |
project.link_resource | project へのリソース追加 |
project.list_bots | project のボットの一覧 |
project.list_scopable_entities | project に追加可能なリソースの表示 |
project.triage_decision | project に紐づく検査結果のトリアージ |
project.unlink_resource | project からのリソースの除外 |
project.update_default_notification_channels | project のデフォルト通知チャネルの更新 |
project.update_iam | project に紐づく権限の変更 |
project.update_info | project の基本情報の更新 |
project.view | project の基本情報の表示 |
project.view_dashboard | project ダッシュボードの表示 |
project.view_decision | project 内の検査結果の詳細表示 |
project.view_default_notification_channels | project のデフォルト通知チャネルの表示 |
project.view_permission | project 内のユーザーの一覧 |
project.view_resource | project 内のリソースの一覧 |
project.view_resource_analysis | リソースのリスク分析の表示 |
trust_condition.delete | 信頼条件の削除 |
trust_condition.update | 信頼条件の更新 |
trust_condition.view | 信頼条件の表示 |
ロールと権限のマッピング
権限 | organization/assessor | organization/auditor | organization/browser | organization/owner | project/owner | project/triager | project/viewer |
---|---|---|---|---|---|---|---|
bot.create_trust_conditions | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
bot.delete | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
bot.delete_trust_conditions | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
bot.list_trust_conditions | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
bot.update_info | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
bot.view_info | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
project.add_permission | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
project.create_default_notification_channels | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
project.delete | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ |
project.delete_default_notification_channels | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
project.delete_permission | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
project.dispatch_workflow | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
project.link_resource | ✅1 | ✅2 | ✅3 | ✅4 | ✅5 | ❌ | ❌ |
project.list_bots | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
project.list_scopable_entities | ✅6 | ✅7 | ✅8 | ✅9 | ✅10 | ❌ | ❌ |
project.triage_decision | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ |
project.unlink_resource | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
project.update_default_notification_channels | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
project.update_iam | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
project.update_info | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
project.view | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
project.view_dashboard | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
project.view_decision | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
project.view_default_notification_channels | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
project.view_permission | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
project.view_resource | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
project.view_resource_analysis | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
trust_condition.delete | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
trust_condition.update | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ❌ |
trust_condition.view | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ |
Team レベルの権限とロール
Team は、ユーザーのグループで、Shisho Cloud プリンシパルです。 Team にはロールを付与することができ、そのロールは Team 内のすべてのユーザーに適用されます。
ロールの一覧
ロール | 説明 |
---|---|
team/owner | team の所有者であり、team に対するすべてのアクションを実行できます。 |
team/member | team のメンバーであり、team に対する基礎的なアクションを実行できます。 |
権限の一覧
権限 | 説明 |
---|---|
team.act_as_team | team にアサインされた権限の行使 |
team.delete | team の削除 |
team.kick_user | team のユーザーの削除 |
team.link_user | team のユーザーの追加 |
team.update_iam | team のユーザーの持つ権限の変更 |
team.update_info | team の基本情報の更新 |
team.view | team の基本情報の表示 |
ロールと権限のマッピング
権限 | organization/auditor | organization/owner | organization/user_browser | team/member | team/owner |
---|---|---|---|---|---|
team.act_as_team | ❌ | ❌ | ❌ | ✅ | ✅ |
team.delete | ❌ | ✅ | ❌ | ❌ | ✅ |
team.kick_user | ❌ | ✅ | ❌ | ❌ | ✅ |
team.link_user | ✅11 | ✅12 | ✅13 | ❌ | ✅14 |
team.update_iam | ❌ | ✅ | ❌ | ❌ | ✅ |
team.update_info | ❌ | ✅ | ❌ | ❌ | ✅ |
team.view | ✅ | ✅ | ✅ | ✅ | ✅ |
Footnotes
-
project.link_resource
を実行するには、organization/assessor
にもproject/owner
が必要です。 ↩ -
project.link_resource
を実行するには、organization/auditor
にもproject/owner
が必要です。 ↩ -
project.link_resource
を実行するには、organization/browser
にもproject/owner
が必要です。 ↩ -
project.link_resource
を実行するには、organization/owner
にもproject/owner
が必要です。 ↩ -
project.link_resource
を実行するには、project/owner
にもorganization/assessor
が必要です。 ↩ -
project.list_scopable_entities
を実行するには、organization/assessor
にもproject/owner
が必要です。 ↩ -
project.list_scopable_entities
を実行するには、organization/auditor
にもproject/owner
が必要です。 ↩ -
project.list_scopable_entities
を実行するには、organization/browser
にもproject/owner
が必要です。 ↩ -
project.list_scopable_entities
を実行するには、organization/owner
にもproject/owner
が必要です。 ↩ -
project.list_scopable_entities
を実行するには、project/owner
にもorganization/assessor
が必要です。 ↩ -
team.link_user
を実行するには、organization/auditor
にもteam/owner
が必要です。 ↩ -
team.link_user
を実行するには、organization/owner
にもteam/owner
が必要です。 ↩ -
team.link_user
を実行するには、organization/user_browser
にもteam/owner
が必要です。 ↩ -
team.link_user
を実行するには、team/owner
にもorganization/user_browser
が必要です。 ↩