Application Integration でサポートされているコネクタをご覧ください。

アクセス制御の概要

Google Cloud プロジェクトを作成した時点で、プロジェクトに参加しているのは作成したそのプリンシパルのみです。デフォルトでは、他のプリンシパル（ユーザー、グループ、サービス アカウント）はプロジェクトやそのリソースにアクセスできません。プロジェクトで Application Integration を正常にプロビジョニングしたら、新しいプリンシパルを追加して、Application Integration リソースに対するアクセス制御を設定できます。

Application Integration では Identity and Access Management（IAM）を使用してプロジェクト内のアクセス制御を管理します。IAM を使用すると、プロジェクト レベルまたはリソースレベルでアクセスを管理できます。

• プロジェクト レベルでリソースへのアクセス権を付与するには、1 つ以上のロールをプリンシパルに割り当てます。
• 特定のリソースへのアクセス権を付与するには、そのリソースに IAM ポリシーを設定します。リソースは、リソースレベルのポリシーをサポートする必要があります。このポリシーでは、どのプリンシパルをどのロールに割り当てるかを定義します。

IAM ロール

Google Cloud プロジェクト内のすべてのプリンシパルには、特定の権限を持つロールが付与されます。プロジェクトまたはリソースにプリンシパルを追加するときは、そのメンバーに付与するロールを指定します。各 IAM ロールには、プリンシパルがリソースに対して特定のアクションを実行できる一連の権限が含まれています。

IAM のさまざまなロールの詳細については、ロールについてをご覧ください。

プリンシパルにロールを付与する方法については、アクセス権の付与、変更、取り消しをご覧ください。

Application Integration では、特定の一連の IAM 事前定義ロールが用意されています。これらのロールを使用すると、特定の Application Integration リソースへのアクセス権を付与し、他の Google Cloud リソースへの不正なアクセスを防ぐことができます。

サービス アカウント

サービス アカウントは、ユーザーに代わってタスクやオペレーションを実行できる、プロジェクトに関連付けられた Google Cloud アカウントです。サービス アカウントには、IAM を使用してプリンシパルと同じ方法でロールと権限が割り当てられます。サービス アカウントとさまざまな種類のサービス アカウントの詳細については、IAM サービス アカウントをご覧ください。

サービス アカウントに関連する API メソッドへのアクセスを許可するには、該当する IAM ロールをサービス アカウントに付与する必要があります。サービス アカウントに IAM ロールを付与すると、そのサービス アカウントが接続されている統合には、そのロールによって付与される承認が割り当てられます。必要なアクセスレベルに事前定義されたロールがない場合は、カスタムロールを作成して付与できます。

Application Integration では、次の 2 種類のサービス アカウントを使用します。

• ユーザー管理サービス アカウント
• デフォルト サービス アカウント

ユーザー管理サービス アカウント

ユーザー管理のサービス アカウントを統合に接続して、タスクを実行するための認証情報を提供できます。詳細については、ユーザー管理のサービス アカウントをご覧ください。

統合に提供される承認は、接続されたサービス アカウントに付与されているロールとアクセス スコープという 2 つの個別の構成によって制限されます。統合でタスクを実行するには、どちらの構成でもアクセスを許可する必要があります。

ユーザー管理のサービス アカウントには次のメールアドレスがあります。

service-account-name@PROJECT_ID.iam.gserviceaccount.com

デフォルト サービス アカウント

Application Integration をプロビジョニングした新しい Google Cloud プロジェクトには、Application Integration のデフォルトのサービス アカウントがあります。このアカウントには次のメールアドレスがあります。

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

Application Integration のデフォルト サービス アカウントは、プロビジョニングの際に作成され、IAM の基本ロールと権限でプロジェクトに自動的に追加されます。詳細については、デフォルトのサービス アカウントをご覧ください。

デフォルトのサービス アカウントに追加のロールや権限を付与する方法については、アクセス権の付与、変更、取り消しをご覧ください。

サービス アカウントを追加する

Application Integration では、次の 2 つの方法で統合にサービス アカウントを追加できます。

• リージョンのガバナンスを有効にしている場合は、新しい統合を作成するときにサービス アカウントを追加する必要があります。
• ガバナンスを有効にしていない場合は、必要に応じて統合にサービス アカウントを追加することもできます。既存の統合にサービス アカウントを追加するには、統合の編集と表示をご覧ください。

AuthenticationRule

統合で OAuth 2.0 プロファイルとユーザー管理のサービス アカウントの両方が構成されている場合、デフォルトでは OAuth 2.0 プロファイルが認証に使用されます。OAuth 2.0 プロファイルもユーザー管理のサービス アカウントも構成されていない場合は、デフォルトのサービス アカウント（service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com）が使用されます。タスクがデフォルトのサービス アカウントを使用していない場合は、実行は失敗します。

認証ルール

サービス アカウントを統合に関連付ける場合は、サービス アカウントに付与する IAM ロールによってサービス アカウントのアクセスレベルを決定する必要があります。サービス アカウントに IAM ロールが付与されていない場合、サービス アカウントを使用してリソースにアクセスすることはできません。

アクセス スコープにより、OAuth で認証を行う際に API メソッドへのアクセスが制限される可能性があります。ただし、gRPC など、別の認証プロトコルへの拡張は行われません。

IAM ロール

サービス アカウントに関連する API メソッドへのアクセスを許可するには、該当する IAM ロールをサービス アカウントに付与する必要があります。

サービス アカウントに IAM ロールを付与すると、そのサービス アカウントが接続されている統合には、そのロールによって付与される承認が割り当てられます。

アクセス スコープ

アクセス スコープは、インスタンスの認証を指定する従来の方法です。gcloud CLI またはクライアント ライブラリからのリクエストで使用されるデフォルトの OAuth スコープを定義します。スコープを使用すると、ユーザーのアクセス権限を指定できます。スペース 1 つ（「 」）で区切られた複数のスコープを指定できます。詳細については、Google API の OAuth 2.0 スコープをご覧ください。ユーザー管理サービス アカウントの場合、スコープは次のスコープに事前定義されています。

https://www.googleapis.com/auth/cloud-platform