このページでは、Cloud Endpoints で使用可能な API アクセス制御オプションについて説明します。
概要
Endpoints では、Identity and Access Management(IAM)を使用して API へのアクセスを制御します。プロジェクト レベルまたは個別の Endpoints サービスレベルで API へのアクセス権限を付与できます。たとえば、次のようなことが可能です。
- サービスごとにプリンシパルへのアクセス権を付与する。
- ユーザーまたはサービス アカウントに、更新された Endpoints 構成をデプロイするためのアクセス権限を付与する。
- API ユーザーにアクセス権限を付与して、ユーザーが自分の Google Cloud プロジェクトで API を有効化できるようにする。
サービスへのアクセスを制御する役割
特定のサービスに関する以下のロールを付与できます。ロールを付与するには、Google Cloud コンソールで [エンドポイント] > [サービス] ページを使用するか、API または Google Cloud CLI を使用します。
IAM の役割名 | 役割のタイトル | 説明 |
---|---|---|
roles/servicemanagement.serviceConsumer |
サービス ユーザー | プリンシパルが独自のプロジェクトで API を表示、有効化できる権限。サービス ユーザーの役割を付与する対象となるのは、Google アカウント、Google グループ、サービス アカウントのみです。 |
roles/servicemanagement.serviceController |
サービス コントローラ | 実行時に Service Infrastructure API で check メソッドと
report メソッドを呼び出すための権限。通常、この役割はサービス アカウントに付与されます。この役割については、Service Management API アクセス制御をご覧ください。 |
roles/servicemanagement.configEditor |
Service Config 編集者 | Endpoints 構成をデプロイするための権限。この役割は、サービスに関して付与されるプロジェクト編集者の役割よりも、権限が制限されています。 |
roles/servicemanagement.admin |
Service Management 管理者 | Service Config 編集者のすべての権限と、API へのアクセスを管理するための権限。サービスに関して付与されるプロジェクト オーナーの役割と同等です。 |