他のプロジェクトのイメージの使用

このページでは、別のプロジェクトのオペレーティングシステムイメージを使用して、Deployment Manager が Compute Engine 仮想マシンのインスタンスを作成できるようにプロジェクトを構成する方法について説明します。

たとえば、Awesome Project という名前のプロジェクトがあり、そこで Deployment Manager が VM インスタンスの作成と管理をするとします。ここで、Database Images という名前の別のプロジェクトに属するプライベートイメージを使用するとします。このイメージへのアクセス権を付与するには、Database Images の所有者が IAM 役割 roles/compute.imageUser を Awesome Project の Google API サービスアカウントに付与する必要があります。これで、Awesome Project が Database Images プロジェクトのイメージを使用できるようになります。

この方法を使用すると、他のプロジェクトのイメージについてもマネージドインスタンスグループのアクセス権を付与することができます。

始める前に

このガイドのコマンドラインの例を使用する場合、gcloud コマンドラインツールをインストールします。
このガイドの API の例を使用する場合は、API アクセスを設定します。
Deployment Manager のconfigurationsについて読みます。
Compute Engine のプライベートイメージについて読みます。
Identity and Access Management（IAM）ドキュメントを読みます。
Deployment Manager の IAM 役割を読みます。特に、roles/compute.imageUser 役割について確認します。

制限事項

この機能を使用するにあたっては、次の制限事項があります。

プロジェクトレベルで、プロジェクトの Google API サービスアカウントに、compute.imageUser ロールを付与する必要があります。
compute.imageUser の役割を付与すると、指定したプロジェクトのすべてのイメージへの権限が付与されます。特定のイメージを共有することはできません。
この役割は、allAuthenticatedUsers や allUsers でなく、特定のユーザーに付与する必要があります。

イメージへのアクセス権の付与

別のプロジェクトに属しているイメージへのアクセス権を付与するには、イメージを所有しているプロジェクトのオーナーがイメージを使用するプロジェクトの Google API サービスアカウントに対してアクセス権を付与する必要があります。

別のプロジェクトが所有する限定公開イメージにアクセスする必要があるプロジェクトの Google Cloud コンソールの IAM ページに移動します。
IAM ページに移動
プロンプトが表示されたら、リストからプロジェクトを選択します。別のプロジェクトで保存されているイメージへのアクセスを必要としているプロジェクトを必ず選択してください。
Google API サービスアカウントを見つけます。これは、次の形式のメールアドレスを持つアカウントです。
```
[PROJECT_NUMBER]@cloudservices.gserviceaccount.com
```
注: このメールアドレスにはプロジェクト番号が必要です。プロジェクト番号は、プロジェクト ID とは別のものです。プロジェクト番号を特定する方法については、プロジェクトの識別をご覧ください。
上記のメールアドレスをメモします。次に、目的のイメージがあるプロジェクトのプロジェクトオーナーが Google API サービスアカウントに roles/compute.imageUser 役割を付与します。
コンソール
1. Google Cloud Platform Console 内で、アクセスするイメージが含まれるプロジェクトの IAM ページに移動します。
  IAM ページに移動
2. プロジェクトリストからプロジェクトを選択します。
3. [追加] ボタンをクリックして新しいメンバーを追加します。
4. [メンバー] ボックスに、サービスアカウントのメールアドレスを入力します。
5. [役割] プルダウンを展開し、[Compute Engine] > [Compute イメージユーザー] を選択します。
6. [追加] をクリックしてアカウントを追加します。
gcloud
Google Cloud CLI で、プロジェクトの IAM ポリシーにバインディングを追加します。
```
gcloud projects add-iam-policy-binding [PROJECT_ID] \
    --member serviceAccount:[SERVICE_ACCOUNT_EMAIL] --role roles/compute.imageUser
```
ここで
- [PROJECT_ID] は、共有するイメージが含まれているプロジェクトの ID です。
- [SERVICE_ACCOUNT_EMAIL] は、サービスアカウントのメールです。
次に例を示します。
```
gcloud projects add-iam-policy-binding database-images \
    --member serviceAccount:123456789012@cloudservices.gserviceaccount.com  \
    --role roles/compute.imageUser
```
API
API では、以下の URL に対して POST リクエストを作成します。ここで [PROJECT_ID] は共有したいイメージを含んでいるプロジェクトの ID を示します。
```
POST https://cloudresourcemanager.googleapis.com/v1/projects/$[PROJECT_ID]:setIamPolicy
```
リクエストの本文には、このプロジェクトに適用するバインドのリストを含めます。roles/compute.imageUser 役割はバインドの一部になります。次に例を示します。
```
{
   "policy": {
       "version": "0",
       "bindings": [
       {
           "role": "roles/owner",
           "members": [
               "user:example@gmail.com"
           ]
       },
       {
           "role": "roles/compute.imageUser",
           "members": [
               "serviceAccount:123456789012@cloudservices.gservbiceaccount.com"
           ]
       }
       ]
   }
```
}

他のプロジェクトのイメージを構成で使用する

プロジェクトに別のプロジェクトのイメージに対するアクセス権が付与されると、プロジェクトのユーザーは、イメージが属しているプロジェクトの ID をテンプレートまたは構成に指定して、イメージを使用できます。

image: projects/[PROJECT_ID]/global/images/[IMAGE_NAME]

たとえば、イメージのプロジェクト ID が database-images の場合、構成には以下のイメージ URI を指定できます。

resources:
- name: a-special-vm
  type: compute.v1.instances
  properties:
    machineType: zones/us-central1-a/machineTypes/f1-micro
    image: projects/database-images/global/images/example-database-image
    ...

イメージを追加したら、構成の作成を完了し、構成をデプロイします。

次のステップ

イメージの共有について、さらに学習する。
Compute Engine のイメージについて、さらに学習する。
その他の付与可能な IAM 役割に関する情報を読む。
サービスアカウントについて、さらに学習する。