Google Cloud コンソールを使用して IAM ロールを付与する

Google Cloud コンソールを使用して、プリンシパルにプロジェクト レベルで IAM ロールを付与する方法を学習します。

次の動画をご覧ください。

Google Cloud コンソールを使用してプリンシパルに IAM のロールを付与する方法を説明する動画。

このタスクを Google Cloud コンソールで直接行う際の順を追ったガイダンスについては、「ガイドを表示」をクリックしてください。

ガイドを表示

始める前に

Google Cloud プロジェクトを作成する

このクイックスタートでは、新しい Google Cloud プロジェクトが必要になります。

  1. Google Cloud コンソールでプロジェクトの選択ページに移動します。

    プロジェクト セレクタに移動

  2. Google Cloud プロジェクトの作成を開始するには、[プロジェクトを作成] をクリックします。

  3. プロジェクトに名前を付けます。生成されたプロジェクト ID をメモしておきます。

  4. 必要に応じて他のフィールドを編集します。

  5. プロジェクトを作成するには、[作成] をクリックします。

必要なロールがあることを確認する

    プロジェクトに次のロールがあることを確認します。 Project IAM Admin

    ロールを確認する

    1. Google Cloud コンソールの [IAM] ページに移動します。

      [IAM] に移動
    2. プロジェクトを選択します。

    3. [プリンシパル] 列で、自分のメールアドレスを含む行を見つけます。

      自分のメールアドレスがその列にない場合、ロールは割り当てられていません。

    4. 自分のメールアドレスを含む行の [ロール] 列で、ロールのリストに必要なロールが含まれているかどうかを確認します。

    ロールを付与する

    1. Google Cloud コンソールの [IAM] ページに移動します。

      [IAM] に移動
    2. プロジェクトを選択します。
    3. [ アクセスを許可] をクリックします。
    4. [新しいプリンシパル] フィールドに、自分のメールアドレスを入力します。
    5. [ロールを選択] リストでロールを選択します。
    6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
    7. [保存] をクリックします。

API を有効にする

IAM and Resource Manager API を有効にします。

API を有効にする

IAM ロールを付与する

プロジェクトに対するログ閲覧者のロールをプリンシパルに付与します。

  1. Google Cloud コンソールの [IAM] ページに移動します。

    [IAM] に移動

  2. 新しいプロジェクトを選択します。

  3. [アクセスを許可] をクリックします。

  4. プリンシパルの ID を入力します。例: my-user@example.com

  5. [ロールを選択] プルダウン メニューで、[ログビューア] を探し、[ログビューア] をクリックします。

  6. [保存] をクリックします。

  7. プリンシパルと対応するロールが IAM ページに表示されていることを確認します。

プリンシパルに IAM ロールを付与しました。

IAM ロールの効果を確認する

ロールを付与したプリンシパルが目的の Google Cloud コンソール ページにアクセスできることを確認するには、次の操作を行います。

  1. 前の手順でロールを付与したプリンシパルに次の URL を送信します。

    https://console.cloud.google.com/logs?project=PROJECT_ID

    この URL をクリックすると、プリンシパルはプロジェクトの [ログ エクスプローラ] ページに移動します。

  2. そのプリンシパルがその URL を表示できることを確認します。

プリンシパルがアクセス権のない別の Google Cloud コンソール ページにアクセスしようとすると、エラー メッセージが表示されます。

同じプリンシパルに追加のロールを付与する

ログ閲覧者のロールに加えて、App Engine 閲覧者のロールをプリンシパルに付与します。

  1. Google Cloud コンソールの [IAM] ページに移動します。

    [IAM] に移動

  2. 他のロールを付与するプリンシパルを含む行を見つけて、その行の [プリンシパルを編集] をクリックします。

  3. [権限の編集] ペインで、[別のロールを追加] をクリックします。

  4. [ロールを選択] プルダウン メニューから [App Engine 閲覧者] を検索して、[App Engine 閲覧者] をクリックします。[保存] をクリックします。

  5. [保存] をクリックします。

プリンシパルに 2 つ目の IAM ロールが付与されました。

IAM ロールを取り消す

以下の操作を行って、前の手順でプリンシパルに付与したロールを取り消します。

  1. ロールを付与したプリンシパルを含む行を見つけて、その行の [プリンシパルを編集 ] をクリックします。

  2. [権限の編集] ペインで、ログ閲覧者と App Engine 閲覧者のロールの横にある削除アイコンをクリックします。

  3. [保存] をクリックします。

これで、両方のロールからそのプリンシパルが削除されました。[ログ エクスプローラ] ページを表示しようとすると、次のエラー メッセージが表示されます。

You don't have permissions to view logs.

クリーンアップ

このページで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の操作を行います。

このクイックスタート用に作成したプロジェクトを削除してクリーンアップします。

  1. Google Cloud コンソールで、[リソースの管理] ページに移動します。

    [リソースの管理] に移動

  2. プロジェクト リストで、削除するプロジェクトを選択し、[削除] をクリックします。
  3. ダイアログでプロジェクト ID を入力し、[シャットダウン] をクリックしてプロジェクトを削除します。

次のステップ