Google Cloud コンソールを使用して IAM ロールを付与する

Google Cloud コンソールを使用して、プリンシパルにプロジェクト レベルで IAM ロールを付与する方法を学習します。

次の動画をご覧ください。

Google Cloud コンソールを使用してプリンシパルに IAM のロールを付与する方法を説明する動画。

このタスクを Google Cloud コンソールで直接行う際の順を追ったガイダンスについては、「ガイドを表示」をクリックしてください。

ガイドを表示

始める前に

Google Cloud プロジェクトを作成する

このクイックスタートでは、新しい Google Cloud プロジェクトが必要になります。

  1. In the Google Cloud console, go to the project selector page.

    Go to project selector

  2. Click Create project.

  3. Name your project. Make a note of your generated project ID.

  4. Edit the other fields as needed.

  5. Click Create.

必要なロールがあることを確認する

    Make sure that you have the following role or roles on the project: Project IAM Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      [IAM] に移動
    2. プロジェクトを選択します。
    3. [ アクセスを許可] をクリックします。

    4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

    5. [ロールを選択] リストでロールを選択します。
    6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
    7. [保存] をクリックします。

    API を有効にする

    Enable the IAM and Resource Manager APIs.

    Enable the APIs

IAM ロールを付与する

プロジェクトに対するログ閲覧者のロールをプリンシパルに付与します。

  1. Google Cloud コンソールの [IAM] ページに移動します。

    IAM に移動

  2. 新しいプロジェクトを選択します。

  3. [アクセスを許可] をクリックします。

  4. プリンシパルの ID を入力します。例: my-user@example.com

  5. [ロールを選択] プルダウン メニューで、[ログビューア] を探し、[ログビューア] をクリックします。

  6. [保存] をクリックします。

  7. プリンシパルと対応するロールが IAM ページに表示されていることを確認します。

プリンシパルに IAM ロールを付与しました。

IAM ロールの効果を確認する

ロールを付与したプリンシパルが目的の Google Cloud コンソール ページにアクセスできることを確認するには、次の操作を行います。

  1. 前の手順でロールを付与したプリンシパルに次の URL を送信します。

    https://console.cloud.google.com/logs?project=PROJECT_ID

    この URL をクリックすると、プリンシパルはプロジェクトの [ログ エクスプローラ] ページに移動します。

  2. そのプリンシパルがその URL を表示できることを確認します。

プリンシパルがアクセス権のない別の Google Cloud コンソール ページにアクセスしようとすると、エラー メッセージが表示されます。

同じプリンシパルに追加のロールを付与する

ログ閲覧者のロールに加えて、App Engine 閲覧者のロールをプリンシパルに付与します。

  1. Google Cloud コンソールの [IAM] ページに移動します。

    [IAM] に移動

  2. 他のロールを付与するプリンシパルを含む行を見つけて、その行の [プリンシパルを編集] をクリックします。

  3. [権限の編集] ペインで、[別のロールを追加] をクリックします。

  4. [ロールを選択] プルダウン メニューから [App Engine 閲覧者] を検索して、[App Engine 閲覧者] をクリックします。[保存] をクリックします。

  5. [保存] をクリックします。

プリンシパルに 2 つ目の IAM ロールが付与されました。

IAM ロールを取り消す

以下の操作を行って、前の手順でプリンシパルに付与したロールを取り消します。

  1. ロールを付与したプリンシパルを含む行を見つけて、その行の [プリンシパルを編集 ] をクリックします。

  2. [権限の編集] ペインで、ログ閲覧者と App Engine 閲覧者のロールの横にある削除アイコンをクリックします。

  3. [保存] をクリックします。

これで、両方のロールからそのプリンシパルが削除されました。[ログ エクスプローラ] ページを表示しようとすると、次のエラー メッセージが表示されます。

You don't have permissions to view logs.

クリーンアップ

このページで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の操作を行います。

このクイックスタート用に作成したプロジェクトを削除してクリーンアップします。

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

次のステップ