アクセス制御オプション

すべての Google Cloud Platform Console プロジェクトには、デフォルトで単一のユーザー（オリジナルのプロジェクト作成者）が設定されています。その他のユーザーは、プロジェクトチームのメンバーとして追加されるまで、そのプロジェクトにアクセスできず、Google Cloud Platform リソースにもアクセスできません。このページでは、ユーザーをプロジェクトに追加するためのさまざまな方法について説明します。

また、Deployment Manager を通じて他の Cloud Platform API の認証を行い、ユーザーに代わってリソースを作成できるようにする方法についても説明します。

始める前に

このガイドのコマンドラインの例を使用する場合は、gcloud コマンドラインツールをインストールします。
このガイドの API の例を使用する場合は、API アクセスを設定します。
Google Cloud Console プロジェクトを理解してください。
Google Identity and Access Management について十分に理解してください。

ユーザーのアクセス制御

プロジェクトに対するアクセス権をユーザーに付与して、各ユーザーが構成ファイルやデプロイを作成できるようにするには、ユーザーをプロジェクトチームメンバーに追加して、Identity and Access Management（IAM）の正しい役割を許可します。IAM では、定義済みの役割と基本の役割の 2 種類の役割がサポートされます。

チームメンバーを追加する方法については、チームメンバーを追加するをご覧ください。

Deployment Manager の役割

役割	役職	説明	権限	最下位のリソース
`roles/deploymentmanager.editor`	Deployment Manager 編集者	デプロイの作成と管理に必要なアクセス権を付与します。	deploymentmanager.compositeTypes.* deploymentmanager.deployments.cancelPreview deploymentmanager.deployments.create deploymentmanager.deployments.delete deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.deployments.stop deploymentmanager.deployments.update deploymentmanager.manifests.* deploymentmanager.operations.* deploymentmanager.resources.* deploymentmanager.typeProviders.* deploymentmanager.types.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	プロジェクト
`roles/deploymentmanager.typeEditor`	Deployment Manager タイプ編集者	すべてのタイプレジストリリソースに対する読み取り / 書き込みアクセス権を付与します。	deploymentmanager.compositeTypes.* deploymentmanager.operations.get deploymentmanager.typeProviders.* deploymentmanager.types.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get	プロジェクト
`roles/deploymentmanager.typeViewer`	Deployment Manager タイプ閲覧者	すべてのタイプレジストリリソースに対する読み取り専用アクセス権を付与します。	deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get	プロジェクト
`roles/deploymentmanager.viewer`	Deployment Manager 閲覧者	すべての Deployment Manager 関連リソースに対する読み取り専用アクセス権を付与します。	deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.manifests.* deploymentmanager.operations.* deploymentmanager.resources.* deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	プロジェクト

Deployment Manager のアクセス制御

他の Google Cloud Platform リソースを作成する際、Deployment Manager は、Google API サービスアカウントの認証情報を使用して他の API を認証します。Google API サービスアカウントは、内部 Google プロセスをユーザーに代わって実行するよう特別に設計されています。このサービスアカウントは、次のメールを使用して識別できます。

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

Google API サービスアカウントは、プロジェクトに対する編集権限が自動的に付与され、Google Cloud Platform Console の IAM セクションにリスト表示されます。このサービスアカウントは、常にプロジェクトと一緒に存在し、プロジェクトを削除した場合にのみ削除されます。Deployment Manager や、管理対象インスタンスグループなどの他のサービスは、このサービスアカウントを利用してリソースを作成、削除、管理しているため、このアカウントの権限を変更することはおすすめしません。

次のステップ

サービスアカウントについて学習する。
チームメンバーを追加する方法について学習する。
IAM について学習する。