権限の構成

ユーザー アカウントでログインするには、次のコマンドを実行します。

gcloud auth login USER_ACCOUNT_EMAIL

ユーザー アカウントに、ルート（親）リソースの Cloud Asset 閲覧者のロール（roles/cloudasset.viewer）または Cloud Asset オーナーのロール（roles/cloudasset.owner）を付与します。このプロジェクトは、Cloud Asset Inventory API が有効になっているプロジェクトでもかまいません。

ユーザー アカウントに Cloud Asset 閲覧者のロールを付与するには、次のコマンドを実行します。

gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \
    --member user:USER_ACCOUNT_EMAIL \
    --role roles/cloudasset.viewer

gcloud asset コマンドに --billing-project フラグを追加して、Cloud Asset Inventory API が有効になっている請求先プロジェクトを指定できます。

--billing-project PROJECT_ID

このフラグを指定すると、アカウントには PROJECT_ID プロジェクトに対する serviceusage.services.use 権限が必要となります。この権限を含む事前定義されたロールの一覧については、ロールについてをご覧ください。

新しいサービス アカウントを作成するには、次のコマンドを実行します。Cloud Asset Inventory API が有効になっているプロジェクトにすでにサービス アカウントがある場合は、この手順を省略できます。

gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
    --display-name "SERVICE_ACCOUNT_DISPLAY_NAME"

サービス アカウントに、ルート（親）リソースの Cloud Asset 閲覧者のロール（roles/cloudasset.viewer）または Cloud Asset オーナーのロール（roles/cloudasset.owner）を付与します。このプロジェクトは、Cloud Asset Inventory API が有効になっているプロジェクトと同じプロジェクトにできます。

サービス アカウントに Cloud Asset 閲覧者のロールを付与するには、次のコマンドを実行します。

gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \
    --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role roles/cloudasset.viewer