アクセス制御

デフォルトでは、すべての Google Cloud Console プロジェクトに単一のユーザー(元のプロジェクト作成者)が設定されています。その他のユーザーは、プロジェクト チームのメンバーとして追加されるまで、そのプロジェクトにアクセスできず、Google Cloud リソースにもアクセスできません。このページでは、ユーザーをプロジェクトに追加するためのさまざまな方法について説明します。

また、Deployment Manager を通じて他の Google Cloud API の認証を行い、ユーザーに代わってリソースを作成できるようにする方法についても説明します。

始める前に

ユーザーのアクセス制御

プロジェクトに対するアクセス権をユーザーに付与して、各ユーザーが構成ファイルやデプロイを作成できるようにするには、ユーザーをプロジェクト チームメンバーに追加して、Identity and Access Management(IAM)の正しい役割を許可します。

チームメンバーを追加する方法については、チームメンバーを追加するをご覧ください。

Deployment Manager の役割

ロール 役職 説明 権限 最下位のリソース
roles/deploymentmanager.editor Deployment Manager 編集者 デプロイの作成と管理に必要なアクセス権を付与します。
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.deployments.cancelPreview
  • deploymentmanager.deployments.create
  • deploymentmanager.deployments.delete
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.deployments.stop
  • deploymentmanager.deployments.update
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト
roles/deploymentmanager.typeEditor Deployment Manager タイプ編集者 すべてのタイプ レジストリ リソースに対する読み取り / 書き込みアクセス権を付与します。
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.operations.get
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
プロジェクト
roles/deploymentmanager.typeViewer Deployment Manager タイプ閲覧者 すべてのタイプ レジストリ リソースに対する読み取り専用アクセス権を付与します。
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
プロジェクト
roles/deploymentmanager.viewer Deployment Manager 閲覧者 すべての Deployment Manager 関連リソースに対する読み取り専用アクセス権を付与します。
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト

Deployment Manager のアクセス制御

他の Google Cloud リソースを作成する際、Deployment Manager は、Google API サービス アカウントの認証情報を使用して他の API を認証します。Google API サービス アカウントは、内部 Google プロセスをユーザーに代わって実行するよう特別に設計されています。このサービス アカウントは、次のメールを使用して識別できます。

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

Google API サービス アカウントは、プロジェクトに対する編集権限が自動的に付与され、Google Cloud Console の IAM セクションにリスト表示されます。このサービス アカウントは、常にプロジェクトと一緒に存在し、プロジェクトを削除した場合にのみ削除されます。Deployment Manager や、管理対象インスタンス グループなどの他のサービスは、このサービス アカウントを利用してリソースを作成、削除、管理しているため、このアカウントの権限を変更することはおすすめしません。

次のステップ