GCP でアクセスを管理する

インストール後、Google Cloud プロジェクトには次のユーザーが関連付けられています。

Apigee 組織がプロビジョニングされたという確認を受け取ったら、Google Cloud Platform(GCP)プロジェクトにユーザー アカウントをさらに追加できます。これを行うには、GCP Console で IAM サービスを使用します。

このセクションでは、GCP プロジェクトに新しいユーザー アカウントを追加して、そのアクセスを管理する方法について説明します。これらのユーザー アカウントには、分析レポートを作成するユーザーや、API プロキシのデプロイとデプロイ解除を担当するユーザーなど、特殊なロールが割り当てられる場合があります。API アクセスの詳細を含む Apigee のロールの説明については、Apigee API でユーザーとロールを管理するをご覧ください。

小規模なプロジェクトの場合は、新しいユーザーを追加する必要がないことがあります。大規模プロジェクトの場合は、Apigee のロールごとに 1 人以上の新しいメンバーを追加します。Apigee の組織管理者のロールには最高レベルの権限が含まれているため、割り当てるこのロールの数を制限してください。

GCP プロジェクトでユーザーを追加して Apigee の役割を割り当てるには:

  1. Google Cloud コンソールを開き、GCP アカウントでログインします。
  2. ハイブリッド対応プロジェクトを選択します。
  3. [IAM と管理者] > [IAM] を選択します。

    Console に [権限] ビューが表示されます。

  4. 新しいユーザーを追加するには、[+追加] ボタンをクリックします。

    Console に [メンバーを追加] ビューが表示されます。

  5. [新しいメンバー] フィールドに、新しいユーザーのアカウントのメールアドレスを入力します。

    メールアドレスは次のいずれかのタイプである必要があります。

    • Google アカウント(例: fred@gmail.com)。すべての Gmail アカウントは Google アカウントですが、ドメインが異なるメールアドレスを Google アカウントとして登録することもできます。
    • Google グループの名前。たとえば my-group@googlegroups.com などです。Google グループをユーザーとして追加すると、グループのすべてのメンバーにそのロールが割り当てられます。
    • サービス アカウントたとえば my-service-account@example.gserviceaccount.com などです。(サービス アカウントをここに追加する必要はありません。)
    • G Suite ドメイン。たとえば address@example-domain.com などです。この example.com は Google Cloud サービスの登録時に使用したドメインです。

    [新しいメンバー] フィールドに複数のメールアドレスを指定し、これらのアドレスすべてに同一のロールを割り当てることができます。異なるメールアドレスに異なるロールを割り当てるには、新しいメンバーごとにステップ 4 と 5 を実行します。

  6. 新しいメンバーに少なくとも 1 つのロールを割り当ててください。
    1. [ロールを選択] プルダウン リストを展開します。
    2. 割り当てるロールを選択します。割り当てるロールを決定するには、ユーザー アカウントとロールの説明をご覧ください。
    3. Apigee のロールを割り当てるには、フィルタに「Apigee」と入力します。これにより、次の例に示すように Apigee のロールのみがプルダウン リストに表示されます。

    4. ユーザーに割り当てるロールごとにこの手順を繰り返します。
  7. [保存] ボタンをクリックして、ロールを割り当てられた新しいユーザーを GCP プロジェクトに追加します。
  8. 追加するユーザーごとにこの手順を繰り返します。

これで、GCP でプロジェクトの新規ユーザーが、割り当てられている権限で組織内のすべての環境にアクセスできるようになります。特定の環境へのユーザーのアクセスを制限するには、ハイブリッド UI でユーザー アカウントを追加するの説明に従ってハイブリッド UI を使用します。