カスタム サービス アカウントを使用してジョブへのアクセスを制御する

このドキュメントでは、ジョブの VM がアクセスできるリソースとアプリケーションに影響を与える Batch ジョブのサービス アカウントを指定する方法について説明します。カスタム サービス アカウントを指定しない場合、ジョブは Compute Engine のデフォルト サービス アカウントの使用をデフォルトにします。これはデフォルトで、プロジェクト内のすべての VM に自動的にアタッチされます。そのため、カスタム サービス アカウントを使用すると、ジョブの権限をより詳細に管理でき、権限を制限する場合にベスト プラクティスとしておすすめです。

ジョブのサービス アカウントについて確認する。

準備

• Batch を以前に使用したことがなかった場合は、Batch を使ってみるを確認し、プロジェクトとユーザーの前提条件を完了して Batch を有効にします。

• カスタム サービス アカウントを使用してジョブへのアクセスを制御するために必要な権限を取得するには、管理者に次の IAM ロールを付与するよう依頼してください。

  • ジョブを作成するには:
    • プロジェクトのバッチジョブ編集者（roles/batch.jobsEditor）
    • ジョブのサービス アカウントのサービス アカウント ユーザー（roles/iam.serviceAccountUser）。これは、デフォルトでは Compute Engine のデフォルトのサービス アカウントです。
  • サービス アカウントを表示するには: プロジェクトのサービス アカウントを表示する（roles/iam.serviceAccountViewer）

  ロールの付与の詳細については、アクセスの管理をご覧ください。

  必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

• このジョブに使用するサービス アカウントを特定します。このサービス アカウントに、ジョブの実行に必要な権限がすべて付与されていることを確認してください。

  詳しくは、サービス アカウントの表示とジョブのサービス アカウントに必要な権限をご覧ください。

カスタム サービス アカウントを使用するジョブを作成する

カスタム サービス アカウントを使用するジョブを作成するには、次の方法のいずれかを選択します。

• このセクションに示すように、ジョブの定義でカスタム サービス アカウントを指定します。
• Compute Engine インスタンス テンプレートを使用して、インスタンス テンプレートとジョブの定義の両方でカスタム サービス アカウントを指定します。

このセクションでは、カスタム サービス アカウントを使用するジョブを作成する方法の例を示します。gcloud CLI または Batch API を使用して、カスタム サービス アカウントを使用するジョブを作成できます。

POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/us-central1/jobs?job_id=example-service-account-job

{
    "taskGroups": [
        {
            "taskSpec": {
                "runnables": [
                    {
                        "script": {
                            "text": "echo Hello World! This is task $BATCH_TASK_INDEX."
                        }
                    }
                ]
            }
        }
    ],
    "allocationPolicy": {
        "serviceAccount": {
            "email": "SERVICE_ACCOUNT_EMAIL"
        }
    }
}

次のステップ

• ジョブの作成または実行に問題がある場合は、トラブルシューティングをご覧ください。
• ジョブとタスクを表示する。
• 別のジョブ作成オプションを学習する。