フィードバックを送信
IAM を使用したアクセス制御
bookmark_border bookmark
コレクションでコンテンツを整理
必要に応じて、コンテンツの保存と分類を行います。
デフォルトでは、すべての Google Cloud コンソール プロジェクトに単一のユーザー(元のプロジェクト作成者)が設定されています。その他のユーザーは、プロジェクト チームのメンバーとして追加されるまで、そのプロジェクトにアクセスできず、Google Cloud リソースにもアクセスできません。このページでは、ユーザーをプロジェクトに追加するためのさまざまな方法について説明します。
また、Deployment Manager を通じて他の Google Cloud API の認証を行い、ユーザーに代わってリソースを作成できるようにする方法についても説明します。
始める前に
ユーザーのアクセス制御
プロジェクトに対するアクセス権をユーザーに付与して、各ユーザーが構成ファイルやデプロイを作成できるようにするには、ユーザーをプロジェクト チームメンバーに追加して、Identity and Access Management(IAM)の正しい役割を許可します。
チームメンバーを追加する方法については、チームメンバーを追加する をご覧ください。
Deployment Manager の役割
Role
Permissions
Deployment Manager Editor
(roles/deploymentmanager.editor )
Provides the permissions necessary to create and manage deployments.
Lowest-level resources where you can grant this role:
deploymentmanager.compositeTypes.*
deploymentmanager.compositeTypes.create deploymentmanager.compositeTypes.delete deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.compositeTypes.update
deploymentmanager.deployments.cancelPreview
deploymentmanager.deployments.create
deploymentmanager.deployments.delete
deploymentmanager.deployments.get
deploymentmanager.deployments.list
deploymentmanager.deployments.stop
deploymentmanager.deployments.update
deploymentmanager.manifests.*
deploymentmanager.manifests.get deploymentmanager.manifests.list
deploymentmanager.operations.*
deploymentmanager.operations.get deploymentmanager.operations.list
deploymentmanager.resources.*
deploymentmanager.resources.get deploymentmanager.resources.list
deploymentmanager.typeProviders.*
deploymentmanager.typeProviders.create deploymentmanager.typeProviders.delete deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.typeProviders.update
deploymentmanager.types.*
deploymentmanager.types.createdeploymentmanager.types.deletedeploymentmanager.types.getdeploymentmanager.types.listdeploymentmanager.types.update
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Deployment Manager Type Editor
(roles/deploymentmanager.typeEditor )
Provides read and write access to all Type Registry resources.
Lowest-level resources where you can grant this role:
deploymentmanager.compositeTypes.*
deploymentmanager.compositeTypes.create deploymentmanager.compositeTypes.delete deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.compositeTypes.update
deploymentmanager.operations.get
deploymentmanager.typeProviders.*
deploymentmanager.typeProviders.create deploymentmanager.typeProviders.delete deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.typeProviders.update
deploymentmanager.types.*
deploymentmanager.types.createdeploymentmanager.types.deletedeploymentmanager.types.getdeploymentmanager.types.listdeploymentmanager.types.update
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
Deployment Manager Type Viewer
(roles/deploymentmanager.typeViewer )
Provides read-only access to all Type Registry resources.
Lowest-level resources where you can grant this role:
deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list
deploymentmanager.typeProviders.get
deploymentmanager.typeProviders.getType
deploymentmanager.typeProviders.list
deploymentmanager.typeProviders.listTypes
deploymentmanager.types.get
deploymentmanager.types.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
Deployment Manager Viewer
(roles/deploymentmanager.viewer )
Provides read-only access to all Deployment Manager-related
resources.
Lowest-level resources where you can grant this role:
deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list
deploymentmanager.deployments.get
deploymentmanager.deployments.list
deploymentmanager.manifests.*
deploymentmanager.manifests.get deploymentmanager.manifests.list
deploymentmanager.operations.*
deploymentmanager.operations.get deploymentmanager.operations.list
deploymentmanager.resources.*
deploymentmanager.resources.get deploymentmanager.resources.list
deploymentmanager.typeProviders.get
deploymentmanager.typeProviders.getType
deploymentmanager.typeProviders.list
deploymentmanager.typeProviders.listTypes
deploymentmanager.types.get
deploymentmanager.types.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Deployment Manager のアクセス制御
他の Google Cloud リソースを作成する際、Deployment Manager は、Google API サービス エージェント の認証情報を使用して他の API を認証します。Google API サービス エージェントは、ユーザーに代わって内部 Google プロセスを実行するように明確に設計されています。このサービス アカウントは、次のメールを使用して識別されます。
[ PROJECT_NUMBER ] @cloudservices . gserviceaccount.com
Google API サービス エージェントには、プロジェクト レベルで編集者のロールが自動的に付与され、Google Cloud Console の IAM セクションにリスト表示されます。このサービス アカウントは、常にプロジェクトと一緒に存在し、プロジェクトを削除した場合にのみ削除されます。Deployment Manager や、管理対象インスタンス グループ などの他のサービスは、このサービス アカウントを利用してリソースを作成、削除、管理しているため、このアカウントの権限を変更することはおすすめしません。
注: プロジェクトやカスタム IAM の役割などの重要なリソースを Deployment Manager で管理する場合は、追加の IAM の役割をデフォルトの Google API サービス エージェントに割り当てる必要があります。たとえば、Deployment Manager でカスタム IAM 役割の作成と管理を行う場合には、Google API サービス エージェントに役割管理者の役割を割り当てます。 次のステップ
フィードバックを送信
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンス により使用許諾されます。コードサンプルは Apache 2.0 ライセンス により使用許諾されます。詳しくは、Google Developers サイトのポリシー をご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2025-03-05 UTC。
ご意見をお聞かせください
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["わかりにくい","hardToUnderstand","thumb-down"],["情報またはサンプルコードが不正確","incorrectInformationOrSampleCode","thumb-down"],["必要な情報 / サンプルがない","missingTheInformationSamplesINeed","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2025-03-05 UTC。"],[[["New users must be added as project team members to gain access to Google Cloud resources, as the original project creator is the only user with initial access."],["Deployment Manager authenticates to other Google Cloud APIs on the user's behalf to facilitate resource creation."],["Users are granted access and permissions through Identity and Access Management (IAM) roles."],["The Google APIs Service Agent is automatically granted the Editor role at the project level, used by Deployment Manager and other services to manage resources."],["There are several Deployment Manager specific roles such as viewer, type viewer, type editor, and editor, which offer different levels of access to resources."]]],[]]
