ユーザー管理のサービスアカウントを使用する VM を作成する

このドキュメントでは、ユーザー管理のサービスアカウントを使用するように構成された仮想マシン（VM）インスタンスを作成する方法について説明します。サービスアカウントは特別なアカウントであり、通常はアプリケーションやコンピューティングワークロードが承認された API 呼び出しを行うときに使用されます。

サービスアカウントは、カスタムアプリケーションなどのワークロードで、エンドユーザーの関与なしに Google Cloud リソースにアクセスする場合や、アクションを実行する必要がある場合を対象としています。サービスアカウントを使用するタイミングの詳細については、サービスアカウントの使用に関するベストプラクティスをご覧ください。

Google Cloud APIs を呼び出す必要があるアプリケーションがある場合、アプリケーションまたはワークロードを実行中の VM にユーザー管理のサービスアカウントを接続することをおすすめします。次に、サービスアカウントに IAM ロールを付与して、サービスアカウント、ひいては VM 上で実行中のアプリケーションに、Google Cloud リソースへのアクセス権を付与します。

始める前に

まだ設定していない場合は、認証を設定します。認証とは、 Google Cloud サービスと API にアクセスするために ID を確認するプロセスです。ローカル開発環境からコードまたはサンプルを実行するには、次のいずれかのオプションを選択して Compute Engine で認証を行います。

Select the tab for how you plan to use the samples on this page:
Console

When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud

必要なロール

サービスアカウントを使用する VM を作成するために必要な権限を取得するには、プロジェクトに対する以下の IAM ロールを付与するよう管理者に依頼してください。

Compute インスタンス管理者（v1）（roles/compute.instanceAdmin.v1）
サービスアカウントの作成（roles/iam.serviceAccountCreator）
プロジェクト IAM 管理者（roles/resourcemanager.projectIamAdmin）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールには、サービスアカウントを使用する VM の作成に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

サービスアカウントを使用する VM を作成するには、次の権限が必要です。

サービスアカウントを作成する: iam.serviceAccountCreator ロールのすべての権限
サービスアカウントに権限を付与する: resourcemanager.projectIamAdmin ロールのすべての権限
VM を作成する:
- プロジェクトに対する compute.instances.create
- カスタムイメージを使用して VM を作成する: イメージに対する compute.images.useReadOnly
- スナップショットを使用して VM を作成する: スナップショットに対する compute.snapshots.useReadOnly
- インスタンステンプレートを使用して VM を作成する: インスタンステンプレートに対する compute.instanceTemplates.useReadOnly
- レガシーネットワークを VM に割り当てる: プロジェクトに対する compute.networks.use
- VM の静的 IP アドレスを指定する: プロジェクトに対する compute.addresses.use
- レガシーネットワークの使用時に VM に外部 IP アドレスを割り当てる: プロジェクトに対する compute.networks.useExternalIp
- VM のサブネットを指定する: プロジェクトまたは選択したサブネットに対する compute.subnetworks.use
- VPC ネットワークの使用時に VM に外部 IP アドレスを割り当てる: プロジェクトまたは選択したサブネットに対する compute.subnetworks.useExternalIp
- VM の VM インスタンスメタデータを設定する: プロジェクトに対する compute.instances.setMetadata
- VM にタグを設定する: VM に対する compute.instances.setTags
- VM にラベルを設定する: VM に対する compute.instances.setLabels
- VM が使用するサービスアカウントを設定する: VM に対する compute.instances.setServiceAccount
- VM に新しいディスクを作成する: プロジェクトに対する compute.disks.create
- 既存のディスクを読み取り専用モードまたは読み取り / 書き込みモードでアタッチする: ディスクに対する compute.disks.use
- 既存のディスクを読み取り専用モードでアタッチする: ディスクに対する compute.disks.useReadOnly

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

概要

VM のサービスアカウントは、次のように構成することをおすすめします。

Compute Engine のデフォルトのサービスアカウントを使用せずに、ユーザー管理の新しいサービスアカウントを作成し、必要なリソースとオペレーションに対してのみ、そのサービスアカウントに IAM ロールを付与します。
サービスアカウントを VM に接続します。
VM にクラウドプラットフォーム（https://www.googleapis.com/auth/cloud-platform）のスコープを設定します。これにより、VM のサービスアカウントを使用して、使用権限のある Google Cloud APIs を呼び出せるようになります。
- Google Cloud コンソールを使用してサービスアカウントを指定する場合は、サービスアカウントのアクセススコープを [すべての Cloud API に完全アクセス権を許可] に設定します。
- Google Cloud CLI または Compute Engine API を使用してサービスアカウントを指定すると、scopes パラメータを使用してアクセススコープを設定できます。

サービスアカウントを設定する

サービスアカウントを作成し、必要な IAM ロールを割り当てます。IAM ロールは必要な数だけ割り当てます。必要に応じて、サービスアカウントの IAM ロールを変更できます。

サービスアカウントの権限を制限し、サービスアカウントの権限を定期的に確認して、最新の状態にしておくことをおすすめします。

サービスアカウントは、次のいずれかの方法で設定します。

コンソール

In the Google Cloud console, go to the Create service account page.

Go to Create service account

Select your project.
In the Service account name field, enter a name. The Google Cloud console fills in the Service account ID field based on this name.

In the Service account description field, enter a description. For example, Service account for quickstart.
Click Create and continue.
Grant the required roles to the service account.

To grant a role, find the Select a role list, then select the role.

To grant additional roles, click Add another role and add each additional role.

Note: The Role field affects which resources the service account can access in your project. You can revoke these roles or grant additional roles later. In production environments, do not grant the Owner, Editor, or Viewer roles. Instead, grant a predefined role or custom role that meets your needs.
Click Continue.
In the Service account users role field, enter the identifier for the principal that will attach the service account to other resources, such as Compute Engine instances.

This is typically the email address for a Google Account.
Click Done to finish creating the service account.

gcloud

Set up authentication:

Create the service account:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
Replace SERVICE_ACCOUNT_NAME with a name for the service account.
To provide access to your project and your resources, grant a role to the service account:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
Replace the following:
- SERVICE_ACCOUNT_NAME: the name of the service account
- PROJECT_ID: the project ID where you created the service account
- ROLE: the role to grant
Note: The --role flag affects which resources the service account can access in your project. You can revoke these roles or grant additional roles later. In production environments, do not grant the Owner, Editor, or Viewer roles. Instead, grant a predefined role or custom role that meets your needs.
To grant another role to the service account, run the command as you did in the previous step.
Grant the required role to the principal that will attach the service account to other resources.
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
Replace the following:
- SERVICE_ACCOUNT_NAME: the name of the service account
- PROJECT_ID: the project ID where you created the service account
- USER_EMAIL: the email address for a Google Account

Terraform

サービスアカウントを作成するには、google_service_account リソースを使用します。

resource "google_service_account" "default" {
  account_id   = "service-account-id"
  display_name = "Service Account"
}

account_id 属性と display_name 属性のプレースホルダの値を忘れずに置き換えてください。

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

VM を作成してサービスアカウントを接続する

サービスアカウントを作成したら VM を作成し、前のセクションで作成したサービスアカウントに接続します。また、VM のアクセススコープを cloud-platform に設定します。

すでに既存の VM があり、別のサービスアカウントを使用するようにその VM を構成する場合は、接続されたサービスアカウントを変更するをご覧ください。

以下のいずれかの方法で VM を作成し、サービスアカウントを接続します。

コンソール

Google Cloud コンソールで [インスタンスの作成] ページに移動します。

[インスタンスの作成] に移動
サービスアカウントを関連付けるには、次の操作を行います。
1. ナビゲーションメニューで [セキュリティ] をクリックします。
2. [サービスアカウント] リストで、作成したサービスアカウントを選択します。
3. [アクセススコープ] では、[すべての Cloud API に完全アクセス権を許可] を選択します。
省略可: その他の構成オプションを指定します。詳細については、インスタンス作成時の構成オプションをご覧ください。
インスタンスを作成して起動するには、[作成] をクリックします。

gcloud

Google Cloud CLI を使用して新しい VM インスタンスを作成し、カスタムサービスアカウントを使用するように構成するには、gcloud compute instances create コマンドを使用して、VM インスタンスにサービスアカウントのメールと cloud-platform アクセススコープを指定します。

gcloud compute instances create VM_NAME \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --scopes=https://www.googleapis.com/auth/cloud-platform

次のように置き換えます。

SERVICE_ACCOUNT_EMAIL: 作成したサービスアカウントのメールアドレス。例: my-sa-123@my-project-123.iam.gserviceaccount.com。メールアドレスを表示するには、サービスアカウントの一覧取得をご覧ください。
VM_NAME: VM インスタンスの名前。

例:

gcloud compute instances create example-vm \
    --service-account 123-my-sa@my-project-123.iam.gserviceaccount.com \
    --scopes=https://www.googleapis.com/auth/cloud-platform

エイリアス --scopes=cloud-platform を使用してスコープを指定することもできます。これらのエイリアスは、gcloud CLI によってのみ認識されます。API や他のライブラリではこれらのエイリアスが認識されないため、完全なスコープ URI を指定する必要があります。

Terraform

サービスアカウントを使用するように新しい VM を設定するには、google_compute_instance リソースを使用します。

resource "google_compute_instance" "default" {
  name         = "my-test-vm"
  machine_type = "n1-standard-1"
  zone         = "us-central1-a"

  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }

  // Local SSD disk
  scratch_disk {
    interface = "SCSI"
  }

  network_interface {
    network = "default"

    access_config {
      // Ephemeral public IP
    }
  }

  service_account {
    # Google recommends custom service accounts with `cloud-platform` scope with
    # specific permissions granted via IAM Roles.
    # This approach lets you avoid embedding secret keys or user credentials
    # in your instance, image, or app code
    email  = google_service_account.default.email
    scopes = ["cloud-platform"]
  }
}

REST

instances.insert メソッドを使用して VM を作成し、VM インスタンスに対してサービスアカウントのメールとアクセススコープを指定します。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

{
   "machineType":"zones/MACHINE_TYPE_ZONE/machineTypes/MACHINE_TYPE",
   "name":"VM_NAME",
   
   "disks":[
      {
         "initializeParams":{
            "sourceImage":"projects/IMAGE_PROJECT/global/images/IMAGE"
         },
         "boot":true
      }
   ],
   
   
   "networkInterfaces":[
      {
         "network":"global/networks/NETWORK_NAME"
      }
   ],
   
  "serviceAccounts": [
      {
      "email": "SERVICE_ACCOUNT_EMAIL",
      "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
      }
   ],
   "shieldedInstanceConfig":{
      "enableSecureBoot":"ENABLE_SECURE_BOOT"
   }
}

次のように置き換えます。

PROJECT_ID: VM を作成するプロジェクトの ID
ZONE: VM を作成するゾーン
MACHINE_TYPE_ZONE: 新しい VM に使用するマシンタイプを含むゾーン
MACHINE_TYPE: 新しい VM のマシンタイプ（事前定義またはカスタム）
VM_NAME: 新しい VM の名前
IMAGE_PROJECT: イメージを含むプロジェクト
たとえば、イメージファミリーとして debian-10 を指定する場合は、イメージプロジェクトとして debian-cloud を指定します。
IMAGE: 次のいずれかを指定します。
- IMAGE: 公開イメージの特定のバージョン
  
  例: "sourceImage": "projects/debian-cloud/global/images/debian-10-buster-v20200309"
- IMAGE_FAMILY: イメージファミリー
  
  これにより、非推奨ではない最新の OS イメージから VM が作成されます。たとえば、"sourceImage": "projects/debian-cloud/global/images/family/debian-10" を指定すると、Compute Engine は Debian 10 イメージファミリーの最新バージョンの OS イメージから VM を作成します。
NETWORK_NAME: VM に使用する VPC ネットワーク。default を指定して、デフォルトネットワークを使用できます。
SERVICE_ACCOUNT_EMAIL: 作成したサービスアカウントのメールアドレス。例: my-sa-123@my-project-123.iam.gserviceaccount.com。メールアドレスを表示するには、サービスアカウントのメールを取得するをご覧ください。
ENABLE_SECURE_BOOT: 省略可。Shielded VM 機能をサポートしているイメージを選択した場合は、Compute Engine がデフォルトで仮想トラステッドプラットフォームモジュール（vTPM）と整合性モニタリングを有効にします。Compute Engine は、デフォルトではセキュアブートを有効にしません。

enableSecureBoot に true を指定すると、Compute Engine は 3 つの Shielded VM 機能をすべて有効にした VM を作成します。Compute Engine が VM を起動した後、Shielded VM のオプションを変更するには、VM を停止する必要があります。

他の Google Cloud サービスにアクセスして使用する

サービスアカウントを使用するように VM を構成すると、アプリケーションはサービスアカウントを使用して認証できるようになります。最も一般的な方法は、アプリケーションのデフォルト認証情報とクライアントライブラリを使用して認証する方法です。gcloud CLI などの一部の Google Cloud ツールは、自動的にサービスアカウントを使用して VM から Google Google Cloud APIs にアクセスできます。詳細については、サービスアカウントを使用したワークロードの認証をご覧ください。

サービスアカウントが削除されると、アプリケーションはそのサービスアカウントを使用してGoogle Cloud リソースにアクセスできなくなります。デフォルトの App Engine サービスアカウントと Compute Engine サービスアカウントを削除すると、VM はプロジェクト内のリソースにアクセスできなくなります。サービスアカウントが使用されているかどうかわからない場合は、削除する前に、サービスアカウントを無効にすることをおすすめします。無効になっているサービスアカウントがまだ必要である場合は、再度有効にすることができます。

例: VM から Cloud Storage リソースにアクセスする

storage.admin ロールを持つサービスアカウントを使用するように VM を構成すると、gcloud CLI などのツールを使用して、Cloud Storage に保存したファイルを管理できます。Cloud Storage リソースにアクセスするには、次の操作を行います。

VM に接続されているサービスアカウントに roles/storage.admin ロールがあることを確認します。
VM でカスタム OS イメージを使用している場合は、gcloud CLI をインストールします。デフォルトでは、gcloud CLI は Google Cloudが提供するほとんどの公開 OS イメージにインストールされています。
VM に接続します。
VM から Google Cloud CLI を使用して Cloud Storage リソースを管理します。

次のステップ

サービスアカウントを使用してワークロードを認証する方法を学習する。
VM に接続されているサービスアカウントを変更する方法を確認する。
サービスアカウントの一覧取得と編集を行う方法を学習する。
サービスアカウントを操作するためのベストプラクティスを確認し、セキュリティリスクを軽減する。

ユーザー管理のサービス アカウントを使用する VM を作成する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

始める前に

Console

gcloud

Terraform

REST

必要なロール

必要な権限

概要

サービス アカウントを設定する

コンソール

gcloud

Terraform

VM を作成してサービス アカウントを接続する

コンソール

gcloud

Terraform

REST

他の Google Cloud サービスにアクセスして使用する

例: VM から Cloud Storage リソースにアクセスする

次のステップ

ユーザー管理のサービスアカウントを使用する VM を作成する

サービスアカウントを設定する

VM を作成してサービスアカウントを接続する