このページでは、Google Cloud Console を使用してプロジェクト メンバーに IAM のロールを付与する方法について説明します。
次の動画をご覧ください。
始める前に
Google Cloud プロジェクトを作成する
このクイックスタートでは、新しい Google Cloud プロジェクトが必要になります。
-
Google Cloud Console で [プロジェクトの選択] ページに移動します。
-
[作成] をクリックして、Google Cloud プロジェクトの作成を開始します。
-
プロジェクトに名前を付けます。生成されたプロジェクト ID をメモしておきます。
-
必要に応じて他のフィールドを編集します。
-
[作成] をクリックして、プロジェクトを作成します。
IAM ロールを付与する
プロジェクト メンバーを追加し、ログ閲覧者のロール(roles/logging.viewer
)を付与します。
-
Cloud Console で [IAM] ページに移動します。
-
新しいプロジェクトの名前が、ページの上部にあるプロジェクト セレクタに表示されていることを確認します。プロジェクト セレクタには、現在作業中のプロジェクトが表示されます。
新しいプロジェクトの名前が表示されない場合は、プロジェクト セレクタをクリックして新しいプロジェクトを選択します。
- メイン コンテンツ領域で [person_add 追加] をクリックします。
- 新しいメンバーのメールアドレスを入力します。
[ロールを選択] プルダウン メニューから [ロギング]、[ログ閲覧者] の順に選択します。
- [保存] をクリックします。
- メンバーと対応するロールが IAM ページに表示されていることを確認します。
これで、プロジェクト メンバーに IAM のロールが付与されました。
IAM のロールの効果を確認する
次の操作を行い、追加したメンバーが Cloud Console のページにアクセスできることを確認します。
- 前の手順で役割を付与したメンバーに URL
https://console.cloud.google.com/logs?project=project-id
を送信します。 - そのメンバーがその URL を表示できることを確認します。
適切な役割が付与されていない Cloud Console ページにはアクセスできません。代わりに、次のようなエラー メッセージが表示されます。
You don't have permissions to view logs.
同じメンバーに別のロールを付与する
既存のメンバーに、ログ閲覧者のロールに加えて閲覧者の基本ロール(roles/viewer
)を付与します。閲覧者のロールは、プロジェクト内に存在するすべてのリソースとデータに対して読み取り専用アクセス権を付与します。
-
Cloud Console で [IAM] ページに移動します。
- 他のロールを付与するメンバーを見つけて、[編集]edit をクリックします。
- [権限の編集] ペインで、[別のロールを追加] をクリックします。
- [役割の選択] プルダウン メニューから [プロジェクト] を選択し、[閲覧者] を選択します。[保存] をクリックします。
メンバーに 2 つ目の IAM ロールが付与されました。
メンバーに付与したロールを取り消す
以下の操作を行って、前の手順でメンバーに付与した役割を取り消します。
- ロールを取り消すメンバーを見つけて、[編集] edit をクリックします。
- [権限の編集] ペインで、メンバーに以前に付与した両方の役割の横にある削除アイコンをクリックします。
- [保存] をクリックします。
これで、両方の役割からそのメンバーが削除されました。以前にアクセスできたページを表示しようとすると、エラー メッセージが表示されます。
クリーンアップ
このクイックスタートで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の手順を行います。
- Cloud Console で [リソースの管理] ページに移動します。
- プロジェクト リストで、削除するプロジェクトを選択し、[削除] をクリックします。
- ダイアログでプロジェクト ID を入力し、[シャットダウン] をクリックしてプロジェクトを削除します。