Bigtable に対して認証を行う

このドキュメントでは、Cloud Bigtable に対する認証をプログラムで行う方法について説明します。

Google Cloud の認証の詳細については、認証の概要をご覧ください。

API アクセス

Bigtable はプログラムによるアクセスをサポートしています。Bigtable に対する認証方法は、API へのアクセス方法によって異なります。次の方法で API にアクセスできます。

クライアントライブラリ
Google Cloud CLI

クライアントライブラリ

Bigtable クライアントライブラリでは、Bigtable の認証をプログラムで行うための高レベルの言語サポートが提供されます。クライアントライブラリはアプリケーションのデフォルト認証情報（ADC）をサポートしています。ライブラリは、定義された一連の場所で認証情報を探し、その認証情報を使用して API へのリクエストを認証します。ADC を使用すると、アプリケーションコードを変更することなく、ローカルでの開発や本番環境など、さまざまな環境のアプリケーションで認証情報を使用できるようになります。

Google Cloud CLI

gcloud CLI を使用して Bigtable にアクセスする場合は、gcloud CLI コマンドで使用される認証情報を提供する Google アカウントで gcloud CLI にログインします。

組織のセキュリティポリシーによってユーザーアカウントに必要な権限が与えられない場合は、サービスアカウントの権限借用を使用できます。

詳細については、gcloud CLI を使用して認証するをご覧ください。Bigtable で gcloud CLI を使用する詳しい方法については、gcloud CLI のリファレンスページをご覧ください。

Bigtable の認証を設定する

認証の設定方法は、コードが実行されている環境によって異なります。

認証の設定には、次のオプションが最も一般的に使用されます。認証のその他のオプションと詳細については、Google での認証をご覧ください。

ローカル開発環境の場合

ローカル開発環境の認証情報は、次の方法で設定できます。

クライアントライブラリまたはサードパーティツールのユーザー認証情報
コマンドラインからの REST リクエストに対するユーザー認証情報

クライアントライブラリまたはサードパーティツール

ローカル環境でアプリケーションのデフォルト認証情報（ADC）を設定します。

Google Cloud CLI をインストールし、次のコマンドを実行して初期化します。
```
gcloud init
```

Google アカウントのローカル認証情報を作成します。
```
gcloud auth application-default login
```
ログイン画面が表示されます。ログインすると、ADC で使用されるローカル認証情報ファイルに認証情報が保存されます。

ローカル環境での ADC 操作の詳細については、ローカル開発環境をご覧ください。

Google Cloud

Google Cloud で実行されているワークロードを認証するには、コードが実行されているコンピューティングリソースに関連付けられているサービスアカウントの認証情報を使用します。たとえば、サービスアカウントを Compute Engine 仮想マシン（VM）インスタンス、Cloud Run サービス、Dataflow ジョブに関連付けることができます。このアプローチは、Google Cloud コンピューティングリソースで実行されているコードの推奨認証方法です。

ほとんどのサービスでは、コードを実行するリソースの作成時にサービスアカウントを関連付ける必要があります。サービスアカウントを後から追加または置換することはできません。Compute Engine は例外です。そのため、サービスアカウントをいつでも VM インスタンスに関連付けることができます。

gcloud CLI を使用してサービスアカウントを作成し、リソースに関連付けます。

Google Cloud CLI をインストールし、次のコマンドを実行して初期化します。
```
gcloud init
```
認証を設定します。
1. サービスアカウントを作成します。
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
  SERVICE_ACCOUNT_NAME をサービスアカウントの名前に置き換えます。
2. プロジェクトとリソースへのアクセス権を付与するには、サービスアカウントにロールを付与します。
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
  次のように置き換えます。
  - SERVICE_ACCOUNT_NAME: サービスアカウントの名前
  - PROJECT_ID: サービスアカウントを作成したプロジェクト ID
  - ROLE: 付与するロール
  注: --role フラグは、サービスアカウントがプロジェクト内のどのリソースにアクセスできるかに影響します。これらのロールは後で取り消すことも、追加のロールを付与することもできます。本番環境では、オーナー、編集者、閲覧者のロールを付与しないでください。代わりに、ニーズに合わせて事前定義ロールまたはカスタムロールを付与します。
3. サービスアカウントに別のロールを付与するには、前の手順で行ったようにコマンドを実行します。
4. サービスアカウントのロールを使用して、そのサービスアカウントを他のリソースに関連付けることができるロールを Google アカウントに付与します。
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
  次のように置き換えます。
  - SERVICE_ACCOUNT_NAME: サービスアカウントの名前
  - PROJECT_ID: サービスアカウントを作成したプロジェクト ID
  - USER_EMAIL: Google アカウントのメールアドレス
コードを実行するリソースを作成し、そのリソースにサービスアカウントを関連付けます。たとえば、Compute Engine を使用する場合は次のようになります。
Compute Engine インスタンスを作成します。インスタンスを次のように構成します。
- INSTANCE_NAME を必要なインスタンス名に置き換えます。
- インスタンスを作成するゾーンに --zone フラグを設定します。
- --service-account フラグに、作成したサービスアカウントのメールアドレスを設定します。
```
gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL
```

Google API に対する認証について詳しくは、Google での認証をご覧ください。

オンプレミスまたは別のクラウドプロバイダ

Google Cloud の外部から認証を設定する際の推奨方法は、Workload Identity 連携の使用です。詳細については、認証ドキュメントのオンプレミスまたは他のクラウドプロバイダをご覧ください。

Bigtable でのアクセス制御

Bigtable への認証後、Google Cloud リソースへのアクセスが認可される必要があります。Bigtable では Identity and Access Management（IAM）を使用して認可を行います。

Bigtable のロールの詳細については、IAM によるアクセス制御をご覧ください。IAM と認可の詳細については、IAM の概要をご覧ください。

次のステップ

Google Cloud の認証方法を確認する。
認証のユースケースを確認する。