カスタムサービスアカウントを使用してジョブへのアクセスを制御する

このドキュメントでは、ジョブの VM がアクセスできるリソースとアプリケーションに影響を与える Batch ジョブのサービスアカウントを指定する方法について説明します。カスタムサービスアカウントを指定しない場合、ジョブは Compute Engine のデフォルトサービスアカウントの使用をデフォルトにします。これはデフォルトで、プロジェクト内のすべての VM に自動的にアタッチされます。そのため、カスタムサービスアカウントを使用すると、ジョブの権限をより詳細に管理でき、権限を制限する場合にベストプラクティスとしておすすめです。

ジョブのサービスアカウントについて確認する。

準備

Batch を以前に使用したことがなかった場合は、Batch を使ってみるを確認し、プロジェクトとユーザーの前提条件を完了して Batch を有効にします。
カスタムサービスアカウントを使用してジョブへのアクセスを制御するために必要な権限を取得するには、管理者に次の IAM ロールを付与するよう依頼してください。
- ジョブを作成するには:
  - プロジェクトのバッチジョブ編集者（roles/batch.jobsEditor）
  - ジョブのサービスアカウントのサービスアカウントユーザー（roles/iam.serviceAccountUser）。これは、デフォルトでは Compute Engine のデフォルトのサービスアカウントです。
- サービスアカウントを表示するには: プロジェクトのサービスアカウントを表示する（roles/iam.serviceAccountViewer）
ロールの付与の詳細については、アクセスの管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
このジョブに使用するサービスアカウントを特定します。このサービスアカウントに、ジョブの実行に必要な権限がすべて付与されていることを確認してください。

詳しくは、サービスアカウントの表示とジョブのサービスアカウントに必要な権限をご覧ください。

カスタムサービスアカウントを使用するジョブを作成する

カスタムサービスアカウントを使用するジョブを作成するには、次の方法のいずれかを選択します。

このセクションに示すように、ジョブの定義でカスタムサービスアカウントを指定します。
Compute Engine インスタンステンプレートを使用して、インスタンステンプレートとジョブの定義の両方でカスタムサービスアカウントを指定します。

このセクションでは、カスタムサービスアカウントを使用するジョブを作成する方法の例を示します。gcloud CLI または Batch API を使用して、カスタムサービスアカウントを使用するジョブを作成できます。

gcloud

gcloud CLI を使用してカスタムサービスアカウントを使用するジョブを作成するには、gcloud batch jobs submit コマンドを使用して、カスタムサービスアカウントをジョブの構成ファイルで指定します。

たとえば、カスタムサービスアカウントを使用するスクリプトジョブを作成するには、次のようにします。

hello-world-service-account.json という名前の現在のディレクトリに、次の内容の JSON ファイルを作成します。

{
    "taskGroups": [
        {
            "taskSpec": {
                "runnables": [
                    {
                        "script": {
                            "text": "echo Hello World! This is task $BATCH_TASK_INDEX."
                        }
                    }
                ]
            }
        }
    ],
    "allocationPolicy": {
        "serviceAccount": {
            "email": "SERVICE_ACCOUNT_EMAIL"
        }
    }
}

ここで、SERVICE_ACCOUNT_EMAIL はサービスアカウントのメールアドレスです。serviceAccount フィールドが指定されていない場合、値はデフォルトの Compute Engine サービスアカウントに設定されます。

次のコマンドを実行します。

gcloud batch jobs submit example-service-account-job \
  --location us-central1 \
  --config hello-world-service-account.json

API

Batch API を使用してカスタムサービスアカウントを使用するジョブを作成するには、jobs.create メソッドを使用し、allocationPolicy フィールドでカスタムサービスアカウントを指定します。

たとえば、カスタムサービスアカウントを使用するスクリプトジョブを作成するには、次のリクエストを行います。

POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/us-central1/jobs?job_id=example-service-account-job

{
    "taskGroups": [
        {
            "taskSpec": {
                "runnables": [
                    {
                        "script": {
                            "text": "echo Hello World! This is task $BATCH_TASK_INDEX."
                        }
                    }
                ]
            }
        }
    ],
    "allocationPolicy": {
        "serviceAccount": {
            "email": "SERVICE_ACCOUNT_EMAIL"
        }
    }
}

以下を置き換えます。

PROJECT_ID: プロジェクトのプロジェクト ID
SERVICE_ACCOUNT_EMAIL: サービスアカウントのメールアドレス。serviceAccount フィールドが指定されていない場合、値はデフォルトの Compute Engine サービスアカウントに設定されます。

次のステップ

ジョブの作成または実行に問題がある場合は、トラブルシューティングをご覧ください。
ジョブとタスクを表示する。
別のジョブ作成オプションを学習する。

カスタム サービス アカウントを使用してジョブへのアクセスを制御する

準備

カスタム サービス アカウントを使用するジョブを作成する

gcloud

API

次のステップ

カスタムサービスアカウントを使用してジョブへのアクセスを制御する

カスタムサービスアカウントを使用するジョブを作成する