デフォルトでは、すべての Google Cloud Console プロジェクトに単一のユーザー(元のプロジェクト作成者)が設定されています。その他のユーザーは、プロジェクト チームのメンバーとして追加されるまで、そのプロジェクトにアクセスできず、Google Cloud リソースにもアクセスできません。このページでは、ユーザーをプロジェクトに追加するためのさまざまな方法について説明します。
また、Deployment Manager を通じて他の Google Cloud API の認証を行い、ユーザーに代わってリソースを作成できるようにする方法についても説明します。
始める前に
ユーザーのアクセス制御
プロジェクトに対するアクセス権をユーザーに付与して、各ユーザーが構成ファイルやデプロイを作成できるようにするには、ユーザーをプロジェクト チームメンバーに追加して、Identity and Access Management(IAM)の正しい役割を許可します。
チームメンバーを追加する方法については、チームメンバーを追加する をご覧ください。
Deployment Manager の役割
ロール
役職
説明
権限
最下位のリソース
roles/ deploymentmanager.editor
Deployment Manager 編集者
デプロイの作成と管理に必要なアクセス権を付与します。
deploymentmanager.compositeTypes.*
deploymentmanager. deployments. cancelPreview
deploymentmanager.deployments.create
deploymentmanager.deployments.delete
deploymentmanager.deployments.get
deploymentmanager.deployments.list
deploymentmanager.deployments.stop
deploymentmanager.deployments.update
deploymentmanager.manifests.*
deploymentmanager.operations.*
deploymentmanager.resources.*
deploymentmanager.typeProviders.*
deploymentmanager.types.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
プロジェクト
roles/ deploymentmanager.typeEditor
Deployment Manager タイプ編集者
すべてのタイプ レジストリ リソースに対する読み取り / 書き込みアクセス権を付与します。
deploymentmanager.compositeTypes.*
deploymentmanager.operations.get
deploymentmanager.typeProviders.*
deploymentmanager.types.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
プロジェクト
roles/ deploymentmanager.typeViewer
Deployment Manager タイプ閲覧者
すべてのタイプ レジストリ リソースに対する読み取り専用アクセス権を付与します。
deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list
deploymentmanager.typeProviders.get
deploymentmanager.typeProviders.getType
deploymentmanager.typeProviders.list
deploymentmanager. typeProviders. listTypes
deploymentmanager.types.get
deploymentmanager.types.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
プロジェクト
roles/ deploymentmanager.viewer
Deployment Manager 閲覧者
すべての Deployment Manager 関連リソースに対する読み取り専用アクセス権を付与します。
deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list
deploymentmanager.deployments.get
deploymentmanager.deployments.list
deploymentmanager.manifests.*
deploymentmanager.operations.*
deploymentmanager.resources.*
deploymentmanager.typeProviders.get
deploymentmanager.typeProviders.getType
deploymentmanager.typeProviders.list
deploymentmanager. typeProviders. listTypes
deploymentmanager.types.get
deploymentmanager.types.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
プロジェクト
Deployment Manager のアクセス制御
他の Google Cloud リソースを作成する際、Deployment Manager は、Google API サービス アカウント の認証情報を使用して他の API を認証します。Google API サービス アカウントは、内部 Google プロセスをユーザーに代わって実行するよう特別に設計されています。このサービス アカウントは、次のメールを使用して識別できます。
[PROJECT_NUMBER]@cloudservices.gserviceaccount.com
Google API サービス アカウントは、プロジェクトに対する編集権限が自動的に付与され、Google Cloud Console の IAM セクションにリスト表示されます。このサービス アカウントは、常にプロジェクトと一緒に存在し、プロジェクトを削除した場合にのみ削除されます。Deployment Manager や、管理対象インスタンス グループ などの他のサービスは、このサービス アカウントを利用してリソースを作成、削除、管理しているため、このアカウントの権限を変更することはおすすめしません。
注: プロジェクトやカスタム IAM の役割などの重要なリソースを Deployment Manager で管理する場合は、追加の IAM の役割をデフォルトの Google API サービス アカウントに割り当てる必要があります。たとえば、Deployment Manager でカスタム IAM 役割の作成と管理を行う場合には、Google API サービス アカウントに役割管理者の役割を割り当てます。
次のステップ