Google Cloud Platform のプロジェクトとリソースに対するアクセス権限を付与、制御するには役割の割り当てを行います。役割は、プロジェクト メンバーとサービス アカウントに割り当てることができます。
サービス アカウントは、App Engine などの Google Cloud サービス ID を表し、他のサービスへのアクセスに使用できます。
適切なアクセス制御の選択
役割をプロジェクト メンバーやサービス アカウントに割り当てることで、GCP プロジェクトに対するアクセスレベルが決定されます。Identity and Access Management(IAM)を使用すると、より細かくアクセスを制御できるようになります。さまざまな App Engine の役割の詳細については、アクセス制御をご覧ください。
一般に、基本の役割である「オーナー」、「編集者」、「閲覧者」は使い方がより簡単ですが、事前定義された役割にはアクセスに関係する、より詳細なオプションが用意されています。App Engine を試してみるだけであれば、プロジェクトに関与するすべての人に「編集者」の役割を付与するのが、アクセスを制御する最も簡単な方法です。手順については、次の権限を設定するをご覧ください。プロジェクトに App Engine アプリケーションを作成し、他のユーザーをプロジェクトに追加できるのは、オーナーのみであることにご注意ください。
プロジェクトでより複雑な役割を設定する場合に行うべきことは次のとおりです。
プロジェクトにアクセスする必要があるさまざまなユーザーの職務をすべて特定します。
各職務に対応する Google グループをセットアップします。
各 Google グループに、必要なメンバーを追加します。
次の権限を設定するの説明に従って、各 Google グループをプロジェクトのメンバーとして追加し、各グループに役割を設定します。
権限を設定する
プロジェクト メンバーの追加と権限の設定をするには:
Google Cloud Platform Console で、[IAM と管理] のプロジェクトの権限ページに移動します。
[追加] をクリックしてプロジェクトに新しいメンバーを追加し、プルダウン メニューを使ってその役割を設定します。個々のユーザーのメールアドレスを追加できます。また、Google グループを使用してグループの役割を管理している場合は、Google グループのメールアドレス(
example-google-group@googlegroups.com)を指定することもできます。
役割を割り当てます。
- 一般的な制御を行う場合は、基本の役割であるオーナー、編集者、閲覧者を使用します。
- より細かい制御を行う場合は、App Engine で事前定義された役割(App Engine 管理者、App Engine サービス管理者、App Engine デプロイ担当者、App Engine 閲覧者)を使用します。
App Engine のすべての役割の説明と比較マトリクスを参照し、制限事項について確認するには、アクセス制御に移動します。
プルダウン メニューには、上記の他に App Engine 以外の Google Cloud Platform プロダクトで使用される役割が含まれます。これらの役割の詳細については、事前定義された役割をご覧ください。
IAM の役割を使用してデプロイする
適切な IAM の役割をユーザー アカウントに割り当てることによって、新しいバージョンのアプリを GCP プロジェクトにデプロイする権限を付与できます。
App Engine デプロイ担当者役割は、アプリのデプロイのみを担当するユーザー アカウントに推奨される役割です。App Engine 管理者役割でもアプリをデプロイできますが、その他の権限も付与されています。デプロイする構成ファイルによっては、以下の手順で説明するように、アカウントに追加の役割を付与しなければならない場合があります。
トラフィックの構成
デフォルトでは、App Engine デプロイ担当者の役割を持つユーザー アカウントは、宛先となるアプリのバージョンにかかわらず、トラフィックの移行や分割を許可されていません。ただし、デプロイのターゲットが現にトラフィックを処理している既存のバージョンである場合、アプリの更新後のバージョンは、更新前のバージョンのトラフィック設定をそのまま受け継ぎます。
たとえば、バージョン 20201155example が現在アプリでトラフィックを処理している場合、gcloud app deploy --version 20201155example コマンドを実行すると、更新されたバージョンが既存のバージョンを上書きしてトラフィックの処理を開始します。
ユーザー アカウントがトラフィックの構成を担当する必要がある場合は、App Engine 管理者または App Engine Service 管理者の役割の使用を検討してください。
始める前に
ユーザー アカウントで IAM の役割を使用してアプリをデプロイするには、以下の手順を実施します。
- GCP プロジェクトのオーナーは、最初に App Engine アプリケーションを作成する必要があります。
App Engine へデプロイする権限をユーザー アカウントに付与するには:
Google Cloud Platform Console で、[IAM と管理] のプロジェクトの権限ページに移動します。
[追加] をクリックしてユーザー アカウントをプロジェクトに追加し、プルダウン メニューを使用してそのアカウントに設定するすべての役割を選択します。
- アカウントが App Engine にデプロイできるようにするために必要な役割:
- 次のいずれかの役割を設定します。
- [App Engine] > [App Engine デプロイ担当者] の役割を使用して、アカウントが任意のバージョンのアプリをデプロイできるようにします。
- アプリとともに
dos.yamlファイルまたはdispatch.yamlファイルもデプロイできるようにするには、[App Engine] > [App Engine 管理者] の役割を使用します。
- App Engine のツールを使用してアプリをデプロイできるようにするには、ユーザー アカウントに [ストレージ] > [ストレージ管理者] の役割を付与する必要があります。これにより、Cloud Storage へアップロードするための権限がツールに付与されます。
- 次のいずれかの役割を設定します。
- 省略可。追加の構成変更をアップロードする権限を付与するには、ユーザー アカウントに次の役割を与えます。
- [Datastore] > [Datastore インデックス管理者] の役割:
index.yamlファイルをアップロードする権限。 - [Cloud Scheduler] > [Cloud Scheduler 管理者] の役割:
cron.yamlファイルをアップロードする権限。 - [Cloud Tasks] > [クラウド タスクキュー管理者] の役割:
queue.yamlファイルをアップロードする権限。
- [Datastore] > [Datastore インデックス管理者] の役割:
- アカウントが App Engine にデプロイできるようにするために必要な役割:
これで、ユーザー アカウントは、関連する GCP プロジェクトで App Engine アプリケーションにアプリをデプロイできるようになりました。アプリのデプロイ方法の詳細については、アプリのデプロイをご覧ください。
IAM 関連のデプロイ問題のトラブルシューティング
上記の手順で権限を構成してもアカウントがアプリをデプロイできない場合は、App Engine アプリケーションが作成されていることを確認する必要があります。
