Cloud Storage から直接イベントを受信する（gcloud CLI）

このクイックスタートでは、Eventarc を使用して、未承認の Cloud Run サービスで Cloud Audit Logs を使用せずに）Cloud Storage から直接イベントを受信する方法について説明します。

Cloud Storage バケット内のさまざまなイベント（オブジェクトの作成、削除、アーカイブ、メタデータの更新）に応じて通知のトリガーを構成できます。詳細については、Cloud Storage イベントを Cloud Run に転送するトリガーを作成するをご覧ください。

このクイックスタートでは、以下の操作を行います。

イベントソースとなる Cloud Storage バケットを作成する。
イベントレシーバサービスを Cloud Run にデプロイする。
Eventarc トリガーを作成する。
Cloud Storage バケットにファイルをアップロードしてイベントを生成し、Cloud Run のログで確認する。

始める前に

組織で定義されているセキュリティの制約により、次の手順を完了できない場合があります。トラブルシューティング情報については、制約のある Google Cloud 環境でアプリケーションを開発するをご覧ください。

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Google Cloud CLI をインストールします。

gcloud CLI を初期化するには:

gcloud init

Google Cloud プロジェクトを作成または選択します。

Google Cloud プロジェクトを作成します。
```
gcloud projects create PROJECT_ID
```
PROJECT_ID は、作成する Google Cloud プロジェクトの名前に置き換えます。
作成した Google Cloud プロジェクトを選択します。
```
gcloud config set project PROJECT_ID
```
PROJECT_ID は、実際の Google Cloud プロジェクト名に置き換えます。

Google Cloud プロジェクトで課金が有効になっていることを確認します。

Google Cloud CLI をインストールします。

gcloud CLI を初期化するには:

gcloud init

Google Cloud プロジェクトを作成または選択します。

Google Cloud プロジェクトを作成します。
```
gcloud projects create PROJECT_ID
```
PROJECT_ID は、作成する Google Cloud プロジェクトの名前に置き換えます。
作成した Google Cloud プロジェクトを選択します。
```
gcloud config set project PROJECT_ID
```
PROJECT_ID は、実際の Google Cloud プロジェクト名に置き換えます。

Google Cloud プロジェクトで課金が有効になっていることを確認します。

Cloud Run、Cloud Storage、Eventarc、Pub/Sub API を有効にします。

gcloud services enable \
eventarc.googleapis.com \
pubsub.googleapis.com \
run.googleapis.com \
storage.googleapis.com

gcloud コンポーネントを更新します。
```
gcloud components update
```
アカウントを使用してログインします。
```
gcloud auth login
```

このクイックスタートで使用する構成変数を設定します。

gcloud config set run/region us-central1
gcloud config set run/platform managed
gcloud config set eventarc/location us-central1

プロジェクト作成者には、オーナーロール（roles/owner）が付与されます。デフォルトでは、この Identity and Access Management（IAM）ロールには、ほとんどの Google Cloud リソースへの完全アクセス権に必要な権限が含まれており、この手順は省略できます。

プロジェクト作成者でない場合は、プロジェクトで適切なプリンシパルに必要な権限を付与する必要があります。プリンシパルは Google アカウント（エンドユーザーの場合）やサービスアカウント（アプリケーションとコンピューティングワークロードの場合）になることもあります。詳細については、イベントの宛先のロールと権限のページをご覧ください。
必要な権限

このチュートリアルを完了するために必要な権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。
- Cloud Run 管理者（roles/run.admin）
- Eventarc 管理者（roles/eventarc.admin）
- ログ表示アクセス者（roles/logging.viewAccessor）
- プロジェクト IAM 管理者（roles/resourcemanager.projectIamAdmin）
- サービスアカウント管理者（roles/iam.serviceAccountAdmin）
- サービスアカウントユーザー（roles/iam.serviceAccountUser）
- Service Usage 管理者（roles/serviceusage.serviceUsageAdmin）
- ストレージ管理者（roles/storage.admin）
ロールの付与の詳細については、アクセスの管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
Compute Engine を使用する Google Cloud サービスを有効にするか、使用すると、Compute Engine のデフォルトのサービスアカウントが自動的に作成されます。

テスト目的で、このサービスアカウントを Eventarc トリガーに関連付けて、トリガーの ID を示すこともできます。トリガーの作成時に使用するメールの形式に注意してください。
```
PROJECT_NUMBER-compute@developer.gserviceaccount.com
```
PROJECT_NUMBER は、実際の Google Cloud プロジェクトの番号に置き換えます。プロジェクト番号は、Google Cloud コンソールの [ようこそ] ページで確認できます。また、次のコマンドで確認することもできます。
```
gcloud projects describe PROJECT_ID --format='value(projectNumber)'
```
Compute Engine サービスアカウントには、プロジェクトの編集者ロール（roles/editor）が自動的に付与されます。ただし、自動ロール付与が無効になっている場合は、該当するロールと権限の手順に沿って新しいサービスアカウントを作成し、必要なロールを付与してください。

注意: Compute Engine のデフォルトのサービスアカウントは、テスト目的でのみ使用することをおすすめします。本番環境では、新しいサービスアカウントを作成して、必要最小限のアクセス許可を含む、最小権限の原則に従う 1 つ以上の IAM ロールを付与することを強くおすすめします。
プロジェクトの Eventarc イベントレシーバのロール（roles/eventarc.eventReceiver）を Compute Engine のデフォルトサービスアカウントに付与して、Eventarc トリガーがイベントプロバイダからイベントを受信できるようにします。
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
    --role=roles/eventarc.eventReceiver
```
Cloud Storage からの直接イベントのトリガーを作成する前に、Google Cloud のサービスエージェン（Google 管理のサービスアカウント）に Cloud Pub/Sub パブリッシャーのロール（roles/pubsub.publisher）を付与します。
```
SERVICE_ACCOUNT="$(gsutil kms serviceaccount -p PROJECT_ID)"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:${SERVICE_ACCOUNT}" \
    --role='roles/pubsub.publisher'
```
2021 年 4 月 8 日以前に、認証済みの Pub/Sub push リクエストをサポートするために Cloud Pub/Sub サービスエージェントを有効にした場合は、サービスアカウントトークン作成者のロール（roles/iam.serviceAccountTokenCreator）を Google マネージドサービスアカウントに付与します。それ以外の場合、このロールはデフォルトで付与されます。
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \
    --role=roles/iam.serviceAccountTokenCreator
```

Cloud Storage バケットを作成する

イベントソースとして使用する Cloud Storage バケットを作成します。

gsutil mb -l us-central1 gs://PROJECT_ID-bucket/

イベントソースの作成後、Cloud Run にイベントレシーバサービスをデプロイできます。

イベントレシーバーサービスを Cloud Run にデプロイする

ビルド済みのイメージ us-docker.pkg.dev/cloudrun/container/hello を使用し、イベントを受信してログに記録する Cloud Run サービスをデプロイします。

gcloud run deploy helloworld-events \
    --image=us-docker.pkg.dev/cloudrun/container/hello \
    --allow-unauthenticated

デプロイに成功すると、コマンドラインにサービスの URL が表示されます。

helloworld-events というイベントレシーバサービスが Cloud Run にデプロイされました。これでトリガーを設定できます。

Eventarc トリガーを作成する

Eventarc トリガーは、Cloud Storage バケットから helloworld-events Cloud Run サービスにイベントを送信します。

Cloud Storage イベントをフィルタし、Compute Engine のデフォルトサービスアカウントを使用するトリガーを作成します。
```
  gcloud eventarc triggers create storage-events-trigger \
      --destination-run-service=helloworld-events \
      --destination-run-region=us-central1 \
      --event-filters="type=google.cloud.storage.object.v1.finalized" \
      --event-filters="bucket=PROJECT_ID-bucket" \
      --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.com
```
これにより、storage-events-trigger というトリガーが作成されます。

Google Cloud プロジェクトで初めて Eventarc トリガーを作成する場合、Eventarc サービスエージェントのプロビジョニングに遅延が発生することがあります。この問題は通常、トリガーを再度作成することで解決できます。詳細については、権限拒否エラーをご覧ください。

storage-events-trigger が正常に作成されたことを確認するには、次のコマンドを実行します。

  gcloud eventarc triggers list --location=us-central1

出力は次のようになります。

 NAME                    TYPE                                      DESTINATION_RUN_SERVICE  DESTINATION_RUN_PATH  ACTIVE
 storage-events-trigger  google.cloud.storage.object.v1.finalized  helloworld-events                              Yes

イベントを生成して表示する

イベントを生成するには、Cloud Storage にテキストファイルをアップロードします。
```
 echo "Hello World" > random.txt
 gsutil cp random.txt gs://PROJECT_ID-bucket/random.txt
```
アップロードによりイベントが生成され、Cloud Run サービスはイベントのメッセージをロギングします。
ログエントリを表示するには、ログエントリをフィルタし、JSON 形式で出力を返します。
```
gcloud logging read 'jsonPayload.message: "Received event of type google.cloud.storage.object.v1.finalized."'
```

次のようなログエントリを探します。

jsonPayload:
  event:
  ...
  eventType: google.cloud.storage.object.v1.finalized
  message: |
    Received event of type google.cloud.storage.object.v1.finalized. Event data: {
      "kind": "storage#object",
      "id": "PROJECT_ID-bucket/random.txt/1713970683868432",
      "selfLink": "https://www.googleapis.com/storage/v1/b/PROJECT_ID-bucket/o/random.txt",
      "name": "random.txt",
      "bucket": "PROJECT_ID-bucket",
      ...
    }

これで完了です。これで、イベントレシーバサービスを Cloud Run にデプロイし、Eventarc トリガーを作成して、Cloud Storage からイベントを生成し、それを Cloud Run ログで確認できました。

クリーンアップ

このドキュメントに記載されているタスクの完了後、作成したリソースを削除すると、それ以上の請求は発生しません。

次のことが可能です。

また、Google Cloud プロジェクトを削除して、料金が発生しないようにすることもできます。Google Cloud プロジェクトを削除すると、そのプロジェクト内で使用されているすべてのリソースに対する課金が停止します。

注意: プロジェクトを削除すると、次のような影響があります。

プロジェクト内のすべてのものが削除されます。このドキュメントのタスクで既存のプロジェクトを使用した場合、それを削除すると、そのプロジェクトで行った他の作業もすべて削除されます。
カスタムプロジェクト ID が失われます。このプロジェクトを作成したときに、将来使用するカスタムプロジェクト ID を作成した可能性があります。そのプロジェクト ID を使用した URL（たとえば、appspot.com）を保持するには、プロジェクト全体ではなくプロジェクト内の選択したリソースだけを削除します。

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

複数のチュートリアルとクイックスタートを実施する予定がある場合は、プロジェクトを再利用すると、プロジェクトの割り当て上限を超えないようにできます。