クイックスタート

このページでは、Google Cloud Platform Console を使用してプロジェクト メンバーに Cloud IAM の役割を付与する方法について説明します。

始める前に

  1. Google アカウントにログインします。

    Google アカウントをまだお持ちでない場合は、新しいアカウントを登録します。

  2. GCP プロジェクトを選択または作成します。

    [リソースの管理] ページに移動

  3. プロジェクトに対して課金が有効になっていることを確認します。

    課金を有効にする方法について

  4. {% dynamic if "no_credentials" in setvar.task_params %}{% dynamic setvar credential_type %}NO_AUTH{% dynamic endsetvar %}{% dynamic if not setvar.redirect_url %}{% dynamic setvar redirect_url %}https://console.cloud.google.com{% dynamic endsetvar %}{% dynamic endif %}{% dynamic endif %}{% dynamic if setvar.in_henhouse_no_auth_whitelist %}{% dynamic if not setvar.credential_type %}{% dynamic setvar credential_type %}NO_AUTH{% dynamic endsetvar %}{% dynamic endif %}{% dynamic elif setvar.in_henhouse_service_account_whitelist %}{% dynamic if not setvar.credential_type %}{% dynamic setvar credential_type %}SERVICE_ACCOUNT{% dynamic endsetvar %}{% dynamic endif %}{% dynamic endif %}{% dynamic if not setvar.service_account_roles and setvar.credential_type == "SERVICE_ACCOUNT" %}{% dynamic setvar service_account_roles %}{% dynamic endsetvar %}{% dynamic endif %}{% dynamic setvar console %}{% dynamic if "no_steps" not in setvar.task_params %}
  5. {% dynamic endif %}{% dynamic if setvar.api_list %}{% dynamic if setvar.in_henhouse_no_auth_whitelist or setvar.in_henhouse_service_account_whitelist %}GCP Console プロジェクトをセットアップします。

    プロジェクトをセットアップする

    クリックして、以下を行います。

    • プロジェクトを作成または選択します。
    • プロジェクトに{% dynamic if setvar.api_names %}{% dynamic print setvar.api_names %}{% dynamic else %}必要な{% dynamic endif %}{% dynamic if "," in setvar.api_list %} API{% dynamic elif "API" in setvar.api_names %}{% dynamic else %} API{% dynamic endif %} を有効にします。
    • {% dynamic if setvar.credential_type == 'SERVICE_ACCOUNT' %}
    • サービス アカウントを作成します。
    • JSON として秘密鍵をダウンロードします。
    • {% dynamic endif %}

    これらのリソースは、GCP Console でいつでも表示および管理できます。

    {% dynamic else %}{% dynamic if "no_text" not in setvar.task_params %}{% dynamic if setvar.api_names %}{% dynamic print setvar.api_names %}{% dynamic else %}必要な{% dynamic endif %}{% dynamic if "," in setvar.api_list %} API{% dynamic elif "API" in setvar.api_names %}{% dynamic else %} API{% dynamic endif %} を有効にします。 {% dynamic endif %}

    {% dynamic if "," in setvar.api_list %}API{% dynamic else %}API{% dynamic endif %}を有効にする

    {% dynamic endif %}{% dynamic endif %}{% dynamic if "no_steps" not in setvar.task_params %}
  6. {% dynamic endif %}{% dynamic endsetvar %}{% dynamic print setvar.console %}

プロジェクト メンバーを追加して IAM の役割を付与する

  1. GCP Console で [IAM] ページを開きます。

    [IAM] ページを開く

  2. [プロジェクトの選択] をクリックします。
  3. プロジェクトを選択して [開く] をクリックします。
  4. [追加] をクリックします。
  5. まだ IAM の役割を付与していない新しいメンバーのメールアドレスを入力します。

  6. 使用する GCP サービスに応じて、プルダウン メニューから次のいずれかの役割を選択します。
    • Stackdriver Logging ユーザーの場合は、[ロギング]、[ログ閲覧者] を選択します。
    • Compute Engine ユーザーの場合は、[Compute Engine]、[Compute インスタンス管理者] を選択します。
    • App Engine のユーザーの場合は、[App Engine]、[App Engine 管理者] を選択します。
    • Cloud Storage ユーザーの場合は、[ストレージ]、[ストレージ管理者] を選択します。
  7. [保存] をクリックします。
  8. メンバーとその役割が Cloud IAM ページに一覧表示されていることを確認します。

これで、Cloud IAM の役割がプロジェクト メンバーに付与されました。

IAM の役割の効果を確認する

  1. 上記で役割を付与したメンバーに、次のいずれかの URL を送信します。
    • ログ閲覧者の役割を付与した場合は、次を送信します。 https://console.developers.google.com/logs?project=[your project ID]
    • Compute インスタンス管理者の役割を付与した場合は、次を送信します。 https://console.developers.google.com/compute/instances?project=[your project ID]
    • App Engine 管理者の役割を付与した場合は、次を送信します。 https://console.developers.google.com/appengine?project=[your project ID]
    • ストレージ管理者の役割を付与した場合は、次を送信します。 https://console.developers.google.com/storage/browser?project=[your project ID]
  2. そのメンバーがその URL を表示できることを確認します。

メンバーは、自分にアクセス権が付与されていない GCP Console ページにはアクセスできず、エラー メッセージが表示されます。

選択したリソースのオペレーションを実行する権限がありません。

同じメンバーに他の役割を付与する

  1. GCP Console で [IAM] ページを開きます。

    [IAM] ページを開く

  2. [プロジェクトの選択] をクリックします。
  3. プロジェクトを選択して [開く] をクリックします。
  4. 別の役割を付与するメンバーを探して、右側の編集アイコンをクリックします。
  5. [権限の編集] ペインで、[別の役割を追加] をクリックします。
  6. [役割の選択] プルダウン メニューから [プロジェクト] を選択し、[閲覧者] を選択します。[保存] をクリックします。

これで、同じメンバーに 2 つ目の役割が付与されました。上記の例では、同じメンバーが、App Engine アプリケーションの管理者とプロジェクトの閲覧者になっています。

メンバーに付与した役割を取り消す

  1. GCP Console で [IAM] ページを開きます。

    [IAM] ページを開く

  2. [プロジェクトの選択] をクリックします。
  3. プロジェクトを選択して [開く] をクリックします。
  4. 役割を取り消すメンバーを探し、右側の編集アイコンをクリックします。
  5. [権限の編集] ペインで、メンバーに以前に付与した両方の役割の横にある削除アイコンをクリックします。
  6. [保存] をクリックします。

これで、両方の役割からそのメンバーが削除されました。

次のステップ

  • Cloud IAM の基本コンセプトについては、IAM の概要をご覧ください。
  • 使用可能な IAM の役割の一覧については、役割についてをご覧ください。
  • アクセス制御の管理方法については、ポリシーの管理をご覧ください。
このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Cloud Identity and Access Management