このページでは、Google Cloud Platform Console を使用してプロジェクト メンバーに Cloud IAM の役割を付与する方法について説明します。
始める前に
-
Google アカウントにログインします。
Google アカウントをまだお持ちでない場合は、新しいアカウントを登録します。
-
GCP プロジェクトを選択または作成します。
-
プロジェクトに対して課金が有効になっていることを確認します。
- 必要な Cloud IAM APIを有効にします。
プロジェクト メンバーを追加して IAM の役割を付与する
-
GCP Console で [IAM] ページを開きます。
- [プロジェクトの選択] をクリックします。
- プロジェクトを選択して [開く] をクリックします。
- [追加] をクリックします。
- まだ IAM の役割を付与していない新しいメンバーのメールアドレスを入力します。
- 使用する GCP サービスに応じて、プルダウン メニューから次のいずれかの役割を選択します。
- Stackdriver Logging ユーザーの場合は、[ロギング]、[ログ閲覧者] を選択します。
- Compute Engine ユーザーの場合は、[Compute Engine]、[Compute インスタンス管理者] を選択します。
- App Engine のユーザーの場合は、[App Engine]、[App Engine 管理者] を選択します。
- Cloud Storage ユーザーの場合は、[ストレージ]、[ストレージ管理者] を選択します。
- [保存] をクリックします。
- メンバーとその役割が Cloud IAM ページに一覧表示されていることを確認します。
これで、Cloud IAM の役割がプロジェクト メンバーに付与されました。
IAM の役割の効果を確認する
-
上記で役割を付与したメンバーに、次のいずれかの URL を送信します。
- ログ閲覧者の役割を付与した場合は、次を送信します。
https://console.developers.google.com/logs?project=[your project ID] - Compute インスタンス管理者の役割を付与した場合は、次を送信します。
https://console.developers.google.com/compute/instances?project=[your project ID] - App Engine 管理者の役割を付与した場合は、次を送信します。
https://console.developers.google.com/appengine?project=[your project ID] - ストレージ管理者の役割を付与した場合は、次を送信します。
https://console.developers.google.com/storage/browser?project=[your project ID]
- ログ閲覧者の役割を付与した場合は、次を送信します。
- そのメンバーがその URL を表示できることを確認します。
メンバーは、自分にアクセス権が付与されていない GCP Console ページにはアクセスできず、エラー メッセージが表示されます。
選択したリソースのオペレーションを実行する権限がありません。
同じメンバーに他の役割を付与する
-
GCP Console で [IAM] ページを開きます。
- [プロジェクトの選択] をクリックします。
- プロジェクトを選択して [開く] をクリックします。
- 別の役割を付与するメンバーを探して、右側の編集アイコンをクリックします。
- [権限の編集] ペインで、[別の役割を追加] をクリックします。
- [役割の選択] プルダウン メニューから [プロジェクト] を選択し、[閲覧者] を選択します。[保存] をクリックします。
これで、同じメンバーに 2 つ目の役割が付与されました。上記の例では、同じメンバーが、App Engine アプリケーションの管理者とプロジェクトの閲覧者になっています。
メンバーに付与した役割を取り消す
-
GCP Console で [IAM] ページを開きます。
- [プロジェクトの選択] をクリックします。
- プロジェクトを選択して [開く] をクリックします。
- 役割を取り消すメンバーを探し、右側の編集アイコンをクリックします。
- [権限の編集] ペインで、メンバーに以前に付与した両方の役割の横にある削除アイコンをクリックします。
- [保存] をクリックします。
これで、両方の役割からそのメンバーが削除されました。
