プロジェクトに新しいメンバーを追加する際は、Identity and Access Management(IAM)ポリシーを使用して、そのメンバーに 1 つ以上の IAM ロールを付与できます。各 IAM ロールには、メンバーに特定のリソースへのアクセスを許可する権限が含まれています。
Compute Engine には、このページで説明する一連の事前定義された IAM ロールが用意されています。また、ニーズに直接対応する権限のサブセットを含むカスタムロールを作成することもできます。
各メソッドに対して必要な権限については、Compute Engine API のリファレンス ドキュメントをご覧ください。
アクセス権の付与の詳細については、次のページをご覧ください。
- プロジェクト レベルで IAM ポリシーを設定するには、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。
- 特定の Compute Engine リソースにポリシーを設定するには、Compute Engine リソースへのアクセス権の付与をご覧ください。
- Compute Engine サービス アカウントにロールを割り当てる方法については、インスタンスのサービス アカウントの作成と有効化をご覧ください。
始める前に
- IAM のドキュメントをお読みください。
IAM とは
Google Cloud には IAM 機能があります。これにより、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不正なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみ付与できます。
IAM では、IAM ポリシーを設定して、誰(どのユーザー)に、どのリソースに対するどのアクセス権(ロール)を付与するかを制御できます。IAM ポリシーは、特定のロールをプロジェクト メンバーに付与することで、その ID に特定の権限を付与します。たとえば、プロジェクトなどの特定のリソースに対し、Google アカウントに roles/compute.networkAdmin のロールを割り当てた場合、そのアカウントはプロジェクト内のネットワーク関連のリソースは制御できるようになりますが、インスタンスやディスクなどの他のリソースは管理できません。また、IAM を使用して、プロジェクト チームメンバーに付与されている Google Cloud Console の以前のロールを管理することもできます。
serviceAccountUser の役割
roles/compute.instanceAdmin.v1 と roles/iam.serviceAccountUser の両方が付与されたメンバーは、サービス アカウントを使用するインスタンスを作成、管理できます。具体的には、roles/iam.serviceAccountUser と roles/compute.instanceAdmin.v1 の両方が付与されたメンバーには次の権限が設定されます。
- サービス アカウントとして実行するインスタンスの作成。
- サービス アカウントとして実行するインスタンスへの永続ディスクの接続。
- サービス アカウントとして実行するインスタンスへのインスタンス メタデータの設定。
- サービス アカウントとして実行するインスタンスへの SSH を使用した接続。
- サービス アカウントとして実行するインスタンスの再構成。
roles/iam.serviceAccountUser は、次の 2 つの方法のいずれかで付与できます。
(推奨)特定のサービス アカウントに基づいてメンバーに役割を付与する。これにより、この役割が付与されたメンバーは自身が
iam.serviceAccountUserとなっているサービス アカウントにはアクセスできますが、iam.serviceAccountUserとなっていない他のサービス アカウントにはアクセスできません。プロジェクト レベルでメンバーに役割を付与する。このメンバーは、プロジェクト内のすべてのサービス アカウントにアクセスできます。今後作成されるサービス アカウントにもアクセスできます。
サービス アカウントに精通していない場合は、サービス アカウントの詳細を確認してください。
Google Cloud Console 権限
Google Cloud Console を使用して Compute Engine リソースにアクセスするには、プロジェクトに対して次の権限を持つロールが必要です。
compute.projects.get
instanceAdmin としてのインスタンスへの接続
プロジェクト メンバーに roles/compute.instanceAdmin.v1 のロールを付与すると、そのメンバーは gcloud CLI やブラウザからの SSH をはじめとする標準の Google Cloud ツールを使用して、仮想マシン(VM)インスタンスに接続できます。
メンバーが gcloud CLI またはブラウザからの SSH を使用すると、公開鍵 / 秘密鍵のペアが自動的に生成され、公開鍵がプロジェクト メタデータに追加されます。メンバーがプロジェクト メタデータを編集する権限を保有していない場合、ツールによって代わりにメンバーの公開鍵がインスタンス メタデータに追加されます。
使用する既存の鍵のペアを持っているメンバーは、自分の公開鍵をインスタンスのメタデータに手動で追加できます。インスタンスへの SSH 認証鍵の追加の詳細について確認します。
IAM とサービス アカウント
新しいカスタム サービス アカウントを作成し、IAM のロールをサービス アカウントに付与して、インスタンスのアクセスを制限します。IAM のロールとカスタム サービス アカウントは、以下の目的のために使用します。
- きめ細かい IAM のロールを使用して、Google Cloud APIs に対するインスタンスのアクセスを制限する。
- 各インスタンス、または一連のインスタンスに一意の ID を付与する。
- デフォルトのサービス アカウントのアクセスを制限する。
マネージド インスタンス グループと IAM
マネージド インスタンス グループ(MIG)は、直接的なユーザー操作なしでユーザーの代わりにアクションを実行するリソースです。たとえば、MIG はグループに対して VM の追加や削除を行うことができます。
MIG の一部として Compute Engine により実行されるオペレーションはすべて、プロジェクトの Google API サービス エージェントによって実行されます。このサービス エージェントは、PROJECT_ID@cloudservices.gserviceaccount.com のようなメールアドレスを持っています。
デフォルトでは、Google API サービス エージェントにはプロジェクト レベルで編集者のロール(roles/editor)が付与されています。このロールは、MIG の構成に基づいてリソースを作成するのに十分な権限を持っています。Google API サービス エージェントのアクセス権をカスタマイズする場合は、Compute インスタンス管理者(v1)ロール(roles/compute.instanceAdmin.v1)と、必要に応じてサービス アカウント ユーザーのロール(roles/iam.serviceAccountUser)を付与します。サービス アカウント ユーザーのロールは、MIG がサービス アカウントとして実行できる VM を作成する場合にのみ必要です。
なお、Google API サービス エージェントは Deployment Manager などの他のプロセスでも使用されます。
MIG の作成やインスタンス テンプレートの更新を行うと、Compute Engine は、Google API サービス エージェントに次のロールと権限が付与されていることを確認します。
- サービス アカウント ユーザーのロール(サービス アカウントとして実行できるインスタンスを作成する場合には重要)。
- イメージ、ディスク、VPC ネットワーク、サブネットなどのインスタンス テンプレートから参照されるすべてのリソースに対する権限。
事前定義された Compute Engine IAM 役割
IAM では、Compute Engine API のすべての API メソッドで、API リクエストを行う ID がリソースの使用に必要な権限を保持していることが要求されます。権限を付与するには、プロジェクトのメンバー(ユーザー、グループ、またはサービス アカウント)に役割を付与するポリシーを設定します。
基本ロール(閲覧者、編集者、オーナー)やカスタムロールに加え、Compute Engine で以下の事前定義ロールもプロジェクトのメンバーに割り当てることができます。
1 人のプロジェクト メンバーに、同一リソースにおける複数の役割を付与できます。たとえば、ネットワーキング チームがファイアウォール ルールも管理している場合、roles/compute.networkAdmin と roles/compute.securityAdmin の両方のロールをネットワーキング チームの Google グループに付与できます。
次の表に、事前定義された Compute Engine IAM ロールと、それぞれのロールに含まれる権限を記載します。各ロールには、特定のタスクに適した一連の権限が含まれています。たとえば、インスタンス管理者のロールはインスタンスを管理する権限を付与することができ、ネットワーク関連のロールにはネットワーク関連のリソースを管理する権限が含まれています。また、セキュリティ関連のロールには、セキュリティ関連のリソース(ファイアウォール証明書、SSL 証明書など)を管理する権限が含まれています。
Compute 管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| Compute 管理者 ( roles/) |
Compute Engine リソースのすべてを管理する権限。 ユーザーがサービス アカウントとして実行するように構成されている仮想マシン インスタンスを管理する場合は、 このロールを付与できる最下位レベルのリソース:
|
|
Compute イメージ ユーザーのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| Compute イメージ ユーザー ( roles/) |
イメージを一覧表示し、読み取る権限(イメージに対する他の権限はありません)。このロールをプロジェクト レベルで付与すると、ユーザーはプロジェクト内のすべてのイメージを一覧表示し、プロジェクト内のイメージに基づいてインスタンス、永続ディスクなどのリソースを作成できます。 このロールを付与できる最下位レベルのリソース:
|
|
Compute インスタンス管理者(ベータ版)のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
Compute インスタンス管理者(ベータ版) ( roles/) |
仮想マシン インスタンスを作成、変更、削除する権限。ディスクの作成、変更、削除を行う権限が含まれます。Shielded VM の設定を構成する権限も含まれます。 ユーザーがサービス アカウントとして実行するように構成されている仮想マシン インスタンスを管理する場合は、 たとえば、仮想マシン インスタンスのグループは管理しているが、ネットワークやセキュリティの設定の管理や、サービス アカウントとして実行するインスタンスの管理は行っていないというユーザーが社内にいる場合は、このロールをインスタンスが含まれている組織、フォルダ、プロジェクトあるいは個々のインスタンスに付与できます。 このロールを付与できる最下位レベルのリソース:
|
|
Compute インスタンス管理者(v1)のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
Compute インスタンス管理者(v1) ( roles/) |
Compute Engine インスタンス、インスタンス グループ、ディスク、スナップショット、イメージのすべてを管理する権限。 すべての Compute Engine ネットワーキング リソースへの読み取り専用権権限。 このロールをユーザーにインスタンス レベルでのみ付与した場合、そのユーザーは新しいインスタンスを作成できません。 |
|
Compute ロードバランサ管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
Compute ロードバランサ管理者 ( roles/)
ベータ版 |
ロードバランサを作成、変更、削除し、リソースを関連付ける権限。 たとえば、会社にロードバランサ、ロードバランサの SSL 証明書、SSL ポリシー、その他のロード バランシング リソースを管理するロード バランシング チームと、残りのネットワーク リソースを管理する別のネットワーク チームが存在する場合は、このロールをロード バランシング チームのグループに付与します。 このロールを付与できる最下位レベルのリソース:
|
|
Compute ロードバランサ サービス ユーザーのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
Compute ロードバランサ サービスのユーザー ( roles/)
ベータ版
|
他のプロジェクトのロードバランサのサービスを使用するための権限。 |
|
Compute ネットワーク管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| Compute ネットワーク管理者 ( roles/) |
ネットワーキング リソース(ファイアウォール ルールと SSL 証明書を除く)を作成、変更、削除する権限。ネットワーク管理者の役割により、ファイアウォール ルール、SSL 証明書、インスタンス(それぞれのエフェメラル IP アドレスの表示用)への読み取り専用アクセスを付与できます。ネットワーク管理者ロールでは、インスタンスの作成、起動、停止、削除はできません。
たとえば、会社にファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワーク リソースを管理するネットワーク チームが存在する場合は、このロールをネットワーク チームのグループに付与します。または、セキュリティとネットワークの両方を管理する統合チームが参加している場合は、このロールと このロールを付与できる最下位レベルのリソース:
|
|
Compute ネットワーク ユーザーのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| Compute ネットワーク ユーザー ( roles/) |
共有 VPC ネットワークへのアクセス権を付与します。 アクセス権を付与されたサービス オーナーは、ホスト プロジェクトに属する VPC ネットワークとサブネットを使用できます。たとえば、ネットワーク ユーザーは、ホスト プロジェクト ネットワークに属する VM インスタンスを作成できますが、ホスト プロジェクトでネットワークを削除できません。また、新しいネットワークを作成することもできません。 このロールを付与できる最下位レベルのリソース:
|
|
Compute ネットワーク閲覧者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| Compute ネットワーク閲覧者 ( roles/) |
すべてのネットワーク リソースに対する読み取りアクセス権。 たとえば、ネットワーク構成を検査するソフトウェアがある場合は、そのソフトウェアのサービス アカウントにこのロールを付与できます。 このロールを付与できる最下位レベルのリソース:
|
|
Compute 組織ファイアウォール ポリシー管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
Compute 組織ファイアウォール ポリシー管理者 ( roles/) |
Compute Engine 組織のファイアウォール ポリシーのすべてを管理できる権限。 |
|
Compute 組織ファイアウォール ポリシー ユーザーのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
Compute 組織ファイアウォール ポリシー ユーザー ( roles/) |
Compute Engine ファイアウォール ポリシーを表示または使用して、組織またはフォルダに関連付けます。 |
|
Compute 組織セキュリティ ポリシー管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
コンピューティング組織セキュリティ ポリシー管理者 ( roles/) |
Compute Engine 組織のセキュリティ ポリシーのすべてを管理できる権限。 |
|
Compute 組織セキュリティ ポリシー ユーザーのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
コンピューティング組織セキュリティ ポリシー ユーザー ( roles/) |
Compute Engine セキュリティ ポリシーを表示または使用して、組織またはフォルダに関連付けます。 |
|
Compute 組織リソース管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
コンピューティング組織リソース管理者 ( roles/) |
組織またはフォルダへの Compute Engine ファイアウォール ポリシーの関連付けのすべてを管理できる権限。 |
|
Compute OS 管理者ログインのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
Compute OS 管理者ログイン ( roles/) |
管理者ユーザーとして Compute Engine インスタンスにログインするアクセス権。 このロールを付与できる最下位レベルのリソース:
|
|
Compute OS Login のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| Compute OS Login ( roles/) |
標準ユーザーとして Compute Engine インスタンスにログインするアクセス権。 このロールを付与できる最下位レベルのリソース:
|
|
Compute OS Login の外部ユーザーのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
Compute OS Login の外部ユーザー ( roles/) |
組織レベルでのみ利用できます。 この組織に関連付けられた OS Login 情報を外部ユーザーが設定するアクセス権。この役割で、インスタンスへのアクセスは許可されません。外部ユーザーが SSH を使用してインスタンスにアクセスできるようにするには、OS Login ロールのいずれかが付与されている必要があります。 このロールを付与できる最下位レベルのリソース:
|
|
コンピューティング パケット ミラーリング管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
Compute Packet Mirroring 管理者 ( roles/) |
ミラーリングするリソースを指定します。 |
|
コンピューティング パケット ミラーリング ユーザーのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
Compute Packet Mirroring ユーザー ( roles/) |
Compute Engine パケット ミラーリングを使用します。 |
|
Compute パブリック IP 管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| Compute パブリック IP 管理者 ( roles/) |
Compute Engine のパブリック IP アドレス管理を完全に制御できる権限。 |
|
Compute セキュリティ管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| Compute セキュリティ管理者 ( roles/) |
ファイアウォール ルールと SSL 証明書を作成、変更、削除するための権限。Shielded VM の設定を構成する権限も含まれます。 たとえば、会社にファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワーク リソースを管理するネットワーク チームが存在する場合は、このロールをセキュリティ チームのグループに付与します。 このロールを付与できる最下位レベルのリソース:
|
|
Compute 単一テナント閲覧者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
Compute 単一テナント閲覧者 ( roles/)
ベータ版
|
単一テナントノード グループを表示する権限 |
|
Compute ストレージ管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| Compute ストレージ管理者 ( roles/) |
ディスク、イメージ、スナップショットを作成、変更、削除する権限。 たとえば、プロジェクトのイメージを管理するユーザーがいて、そのユーザーにプロジェクト編集者ロールを与えたくない場合には、プロジェクトでそのユーザーのアカウントにこのロールを付与します。 このロールを付与できる最下位レベルのリソース:
|
|
Compute 閲覧者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| Compute 閲覧者 ( roles/) |
Compute Engine リソースを取得して表示する読み取りアクセス権。そこに格納されたデータを読み取ることはできません。 たとえば、このロールを持つアカウントはプロジェクトのすべてのディスクの一覧を作成できますが、それらのディスク内のデータを読み取ることはできません。 このロールを付与できる最下位レベルのリソース:
|
|
Compute Shared VPC 管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
Compute Shared VPC 管理者 ( roles/) |
共有 VPC ホスト プロジェクトを管理する権限。特にホスト プロジェクトを有効にし、共有 VPC サービス プロジェクトをホスト プロジェクトのネットワークに関連付ける権限。 組織レベルでこのロールを付与できるのは組織管理者のみです。
Google Cloud では、共有 VPC ホスト プロジェクトのオーナーを共有 VPC 管理者にすることを推奨しています。共有 VPC 管理者は Compute ネットワーク ユーザーのロール( このロールを付与できる最下位レベルのリソース:
|
|
GuestPolicy 管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| GuestPolicy 管理者 ( roles/)
ベータ版 |
GuestPolicy に対する完全な管理者アクセス権 |
|
GuestPolicy 編集者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| GuestPolicy 編集者 ( roles/)
ベータ版 |
GuestPolicy リソースの編集者 |
|
GuestPolicy 閲覧者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| GuestPolicy 閲覧者 ( roles/)
ベータ版 |
GuestPolicy リソースの閲覧者 |
|
InstanceOSPoliciesCompliance 閲覧者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| InstanceOSPoliciesCompliance 閲覧者 ( roles/)
ベータ版 |
VM インスタンスの OS ポリシー コンプライアンスの閲覧者 |
|
OS Inventory 閲覧者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| OS インベントリ閲覧者 ( roles/) |
OS インベントリの閲覧者 |
|
OSPolicyAssignment 管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| OSPolicyAssignment 管理者 ( roles/) |
OS ポリシーの割り当てに対する完全な管理者アクセス権 |
|
OSPolicyAssignment 編集者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| OSPolicyAssignment 編集者 ( roles/) |
OS ポリシーの割り当ての編集者 |
|
OSPolicyAssignmentReport 閲覧者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| OSPolicyAssignmentReport 閲覧者 ( roles/) |
VM インスタンスの OS ポリシー割り当てレポートの閲覧者 |
|
OSPolicyAssignment 閲覧者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| OSPolicyAssignment 閲覧者 ( roles/) |
OS ポリシーの割り当ての閲覧者 |
|
PatchDeployment 管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
PatchDeployment 管理者 ( roles/) |
PatchDeployment に対する完全な管理者アクセス権 |
|
PatchDeployment 閲覧者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
PatchDeployment 閲覧者 ( roles/) |
PatchDeployment リソースの閲覧者 |
|
パッチジョブ エグゼキュータのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| パッチジョブ エグゼキュータ ( roles/) |
パッチジョブを実行するためのアクセス権。 |
|
パッチジョブ閲覧者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| パッチジョブ閲覧者 ( roles/) |
パッチジョブを取得して一覧表示します。 |
|
OS VulnerabilityReport 閲覧者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| OS VulnerabilityReport 閲覧者 ( roles/) |
OS VulnerabilityReports の閲覧者 |
|
DNS 管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| DNS 管理者 ( roles/) |
すべての Cloud DNS リソースへの読み取り / 書き込みアクセス権を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
DNS ピアのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| DNS ピア ( roles/) |
DNS ピアリング ゾーンを持つターゲット ネットワークへのアクセス権。 |
|
DNS リーダーのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| DNS リーダー ( roles/) |
すべての Cloud DNS リソースへの読み取り専用アクセス権を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
サービス アカウント管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| サービス アカウント管理者 ( roles/)
|
サービス アカウントを作成、管理します。 このロールを付与できる最下位レベルのリソース:
|
|
サービス アカウント作成のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| サービス アカウントの作成 ( roles/) |
サービス アカウントを作成するための権限。 |
|
サービス アカウント削除のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| サービス アカウントの削除 ( roles/) |
サービス アカウントを削除するための権限。 |
|
サービス アカウント キー管理者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| サービス アカウント キー管理者 ( roles/) |
サービス アカウント キーの作成と管理(とローテーション)を行います。 このロールを付与できる最下位レベルのリソース:
|
|
サービス アカウントの OpenID Connect ID トークン作成者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
|
サービス アカウントの OpenID Connect ID トークン作成者 ( roles/) |
OpenID Connect(OIDC)ID トークンを作成します |
|
サービス アカウント トークン作成者のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| サービス アカウント トークン作成者 ( roles/) |
サービス アカウント権限を使用できます(OAuth2 アクセス トークンを作成し、blob または JWT などに署名します)。 このロールを付与できる最下位レベルのリソース:
|
|
サービス アカウント ユーザーのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| サービス アカウント ユーザー ( roles/) |
サービス アカウントとして操作を行います。 このロールを付与できる最下位レベルのリソース:
|
|
サービス アカウント表示のロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| サービス アカウントの表示 ( roles/) |
サービス アカウント、メタデータ、鍵への読み取りアクセス権。 |
|
Workload Identity ユーザーのロール
| タイトルと名前 | 説明 | 権限 |
|---|---|---|
| Workload Identity ユーザー ( roles/) |
GKE ワークロードのサービス アカウントを使用できます。 |
|
次のステップ
- IAM の詳細について学習する。
- カスタム IAM ロールの作成および管理方法を学習する。
- IAM のロールをプロジェクト ユーザーに付与する。
- 特定の Compute Engine リソースに対して IAM ロールを付与する。
- IAM の役割をサービス アカウントに付与する。