Application Integration でサポートされているコネクタをご覧ください。

アクセス制御の概要

Google Cloud プロジェクトを作成した時点で、プロジェクトに参加しているのは作成したそのプリンシパルのみです。デフォルトでは、他のプリンシパル(ユーザー、グループ、サービス アカウント)は、プロジェクトやそのリソースにアクセスできません。プロジェクトに Application Integration を正常にプロビジョニングしたら、新しいプリンシパルを追加して、Application Integration リソースのアクセス制御を設定できます。

Application Integration は、Identity and Access Management(IAM)を使用してプロジェクト内のアクセス制御を管理します。IAM を使用して、プロジェクト レベルまたはリソースレベルでアクセスを管理できます。

  • プロジェクト レベルでリソースへのアクセス権を付与するには、プリンシパルに 1 つ以上のロールを割り当てます。
  • 特定のリソースへのアクセス権を付与するには、そのリソースに IAM ポリシーを設定します。リソースで、リソースレベルのポリシーがサポートされている必要があります。このポリシーでは、どのプリンシパルをどのロールに割り当てるかを定義します。

IAM ロール

Google Cloud プロジェクト内のすべてのプリンシパルには、特定の権限を持つロールが付与されます。プロジェクトまたはリソースにプリンシパルを追加するときは、そのメンバーに付与するロールを指定します。各 IAM ロールには、プリンシパルがリソースに対して特定のアクションを実行できる一連の権限が含まれています。

IAM ロールの種類の詳細については、ロールについてをご覧ください。

プリンシパルにロールを付与する方法については、アクセス権の付与、変更、取り消しをご覧ください。

Application Integration では、特定の事前定義された IAM ロールのセットが用意されています。これらのロールを使用すると、特定の Application Integration リソースへのアクセス権を付与し、他の Google Cloud リソースへの望ましくないアクセスを防ぐことができます。

サービス アカウント

サービス アカウントとは、ユーザーに代わってタスクやオペレーションを実行できるプロジェクトに関連付けられた Google Cloud アカウントです。サービス アカウントには、プリンシパルと同じように IAM を使用してロールと権限が割り当てられます。サービス アカウントと、さまざまな種類のサービス アカウントの詳細については、IAM サービス アカウントをご覧ください。

サービス アカウントに関連する API メソッドへのアクセスを許可するには、該当する IAM ロールをサービス アカウントに付与する必要があります。サービス アカウントに IAM ロールを付与すると、そのサービス アカウントが接続されている統合には、そのロールによって付与される承認が割り当てられます。必要なアクセスレベルに事前定義されたロールがない場合は、カスタムロールを作成して付与できます。

Application Integration では、次の 2 種類のサービス アカウントを使用します。

ユーザー管理のサービス アカウント

ユーザー管理のサービス アカウントを統合に接続して、タスクの実行に必要な認証情報を提供できます。詳細については、ユーザー管理のサービス アカウントをご覧ください。

統合に提供される承認は、接続されているサービス アカウントに付与されるロールとアクセス スコープという 2 つの個別の構成によって制限されます。 統合でタスクを実行するには、両方の構成でアクセスを許可する必要があります。

ユーザー管理のサービス アカウントには次のメールアドレスがあります。

service-account-name@PROJECT_ID.iam.gserviceaccount.com

デフォルト サービス アカウント

Application Integration がプロビジョニングされた新しい Google Cloud プロジェクトには、次のメールアドレスを持つ Application Integration のデフォルトのサービス アカウントがあります。

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

Application Integration のデフォルトのサービス アカウントはプロビジョニング中に作成され、基本的な IAM ロールと権限でプロジェクトに自動的に追加されます。詳細については、デフォルトのサービス アカウントをご覧ください。

デフォルトのサービス アカウントへの追加のロールまたは権限の付与については、アクセス権の付与、変更、取り消しをご覧ください。

サービス アカウントを追加する

Application Integration では、次の 2 つの方法で統合にサービス アカウントを追加できます。

AuthenticationRule

統合に OAuth 2.0 プロファイルとユーザー管理のサービス アカウントの両方が構成されている場合は、デフォルトで OAuth 2.0 プロファイルが認証に使用されます。OAuth 2.0 プロファイルとユーザー管理のサービス アカウントのどちらも構成されていない場合は、デフォルトのサービス アカウント(service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com)が使用されます。タスクがデフォルトのサービス アカウントを使用しない場合、実行は失敗します。

認証ルール

サービス アカウントを統合に関連付ける場合は、サービス アカウントに付与する IAM ロールによってサービス アカウントのアクセスレベルを決定する必要があります。サービス アカウントに IAM ロールが付与されていない場合、そのサービス アカウントを使用してリソースにアクセスすることはできません。

アクセス スコープにより、OAuth で認証を行う際に API メソッドへのアクセスが制限される可能性があります。ただし、gRPC など、別の認証プロトコルへの拡張は行われません。

IAM ロール

サービス アカウントに関連する API メソッドへのアクセスを許可するには、該当する IAM ロールをサービス アカウントに付与する必要があります。

サービス アカウントに IAM ロールを付与すると、そのサービス アカウントが接続されている統合には、そのロールによって付与される承認が割り当てられます。

アクセス スコープ

アクセス スコープは、インスタンスの認証を指定する従来の方法です。gcloud CLI またはクライアント ライブラリからのリクエストで使用されるデフォルトの OAuth スコープを定義します。スコープを使用すると、ユーザーのアクセス権限を指定できます。スペース 1 つ(「 」)で区切られた複数のスコープを指定できます。詳細については、Google API の OAuth 2.0 スコープをご覧ください。ユーザー管理のサービス アカウントの場合、スコープは次のスコープに事前定義されます。

https://www.googleapis.com/auth/cloud-platform