クライアント ライブラリを使用して許可ポリシーを作成する
使い慣れたプログラミング言語で Resource Manager API から IAM メソッドを使用する方法について説明します。
このタスクを Cloud Console で直接行う際の順を追ったガイダンスについては、[ガイドを表示] をクリックしてください。
以降のセクションでは、[ガイドを表示] をクリックした場合と同じ手順について説明します。
始める前に
Google Cloud プロジェクトを作成する
このクイックスタートでは、新しい Google Cloud プロジェクトが必要になります。
- Google Cloud アカウントにログインします。Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
-
Google Cloud Console のプロジェクト セレクタのページで、[プロジェクトを作成] をクリックして新しい Google Cloud プロジェクトの作成を開始します。
-
Resource Manager API を有効にします。
-
サービス アカウントを作成します。
-
Cloud Console で [サービス アカウントの作成] ページに移動します。
[サービス アカウントの作成] に移動 - プロジェクトを選択します。
-
[サービス アカウント名] フィールドに名前を入力します。Cloud Console は、この名前に基づいて [サービス アカウント ID] フィールドに入力します。
[サービス アカウントの説明] フィールドに説明を入力します。例:
Service account for quickstart
- [作成して続行] をクリックします。
-
プロジェクトへのアクセス権限を付与するには、サービス アカウントに次のロールを付与します。Project IAM Admin
[ロールを選択] リストでロールを選択します。
ロールを追加するには、[
別のロールを追加] をクリックして各ロールを追加します。 - [続行] をクリックします。
-
[完了] をクリックして、サービス アカウントの作成を完了します。
ブラウザ ウィンドウは閉じないでください。次のステップでこれを使用します。
-
-
サービス アカウント キーを作成します。
- Cloud Console で、作成したサービス アカウントのメールアドレスをクリックします。
- [キー] をクリックします。
- [鍵を追加]、[新しい鍵を作成] の順にクリックします。
- [作成] をクリックします。JSON キーファイルがパソコンにダウンロードされます。
- [閉じる] をクリックします。
-
環境変数
GOOGLE_APPLICATION_CREDENTIALS
を、サービス アカウント キーが含まれる JSON ファイルのパスに設定します。 この変数は現在のシェル セッションにのみ適用されるため、新しいセッションを開く場合は、変数を再度設定します。 -
Google Cloud Console のプロジェクト セレクタのページで、[プロジェクトを作成] をクリックして新しい Google Cloud プロジェクトの作成を開始します。
-
Resource Manager API を有効にします。
-
サービス アカウントを作成します。
-
Cloud Console で [サービス アカウントの作成] ページに移動します。
[サービス アカウントの作成] に移動 - プロジェクトを選択します。
-
[サービス アカウント名] フィールドに名前を入力します。Cloud Console は、この名前に基づいて [サービス アカウント ID] フィールドに入力します。
[サービス アカウントの説明] フィールドに説明を入力します。例:
Service account for quickstart
- [作成して続行] をクリックします。
-
プロジェクトへのアクセス権限を付与するには、サービス アカウントに次のロールを付与します。Project IAM Admin
[ロールを選択] リストでロールを選択します。
ロールを追加するには、[
別のロールを追加] をクリックして各ロールを追加します。 - [続行] をクリックします。
-
[完了] をクリックして、サービス アカウントの作成を完了します。
ブラウザ ウィンドウは閉じないでください。次のステップでこれを使用します。
-
-
サービス アカウント キーを作成します。
- Cloud Console で、作成したサービス アカウントのメールアドレスをクリックします。
- [キー] をクリックします。
- [鍵を追加]、[新しい鍵を作成] の順にクリックします。
- [作成] をクリックします。JSON キーファイルがパソコンにダウンロードされます。
- [閉じる] をクリックします。
-
環境変数
GOOGLE_APPLICATION_CREDENTIALS
を、サービス アカウント キーが含まれる JSON ファイルのパスに設定します。 この変数は現在のシェル セッションにのみ適用されるため、新しいセッションを開く場合は、変数を再度設定します。
クライアント ライブラリをインストールする
C#
C# 開発環境の設定の詳細については、C# 開発環境設定ガイドをご覧ください。
install-package Google.Apis.Iam.v1 install-package Google.Apis.CloudResourceManager.v1
Go
go get golang.org/x/oauth2/google go get google.golang.org/api/cloudresourcemanager/v1
Java
Java 開発環境の設定の詳細については、Java 開発環境設定ガイドをご覧ください。
Maven を使用している場合は、pom.xml
ファイルに以下の内容を追加します。
Python
Python 開発環境の設定の詳細については、Python 開発環境設定ガイドをご覧ください。
pip install --upgrade google-api-python-client google-auth google-auth-httplib2
許可ポリシーの読み取り、変更、書き込みを行う
このクイックスタートのコード スニペットでは、次の処理を行います。
- Google Cloud プロジェクトを管理する Resource Manager サービスを初期化します。
- プロジェクトの許可ポリシーを読み取ります。
- Google アカウントにログ書き込みロール(
roles/logging.logWriter
)を付与して、許可ポリシーを変更します。 - 更新された許可ポリシーを書き込みます。
- プロジェクト レベルでログ書き込みロール(
roles/logging.logWriter
)を持つすべてのプリンシパルを出力します。 - ログ書き込みロールを取り消します。
コード スニペットが実行される前に、次の値を置き換えます。
your-project
: プロジェクトの ID。your-member
: Google アカウントのメールアドレス(接頭辞はuser:
)。例:user:tanya@example.com
C#
Resource Manager 用のクライアント ライブラリをインストールして使用する方法については、Resource Manager クライアント ライブラリをご覧ください。詳細については、Resource Manager C# API のリファレンス ドキュメントをご覧ください。
Go
Resource Manager 用のクライアント ライブラリをインストールして使用する方法については、Resource Manager クライアント ライブラリをご覧ください。詳細については、Resource Manager Go API のリファレンス ドキュメントをご覧ください。
Java
Resource Manager 用のクライアント ライブラリをインストールして使用する方法については、Resource Manager クライアント ライブラリをご覧ください。詳細については、Resource Manager Java API のリファレンス ドキュメントをご覧ください。
Python
Resource Manager 用のクライアント ライブラリをインストールして使用する方法については、Resource Manager クライアント ライブラリをご覧ください。詳細については、Resource Manager Python API のリファレンス ドキュメントをご覧ください。
これで、Resource Manager API の IAM メソッドを使用して、プロジェクトのアクセス権を変更しました。
いかがでしたか
クリーンアップ
- 不要になったプロジェクトを Cloud Console で削除します。
次のステップ
- IAM の仕組みについて確認する。
- アクセス権の付与、変更、取り消しについて学習する。
- ポリシーのトラブルシューティングでアクセスに関する問題のトラブルシューティングを行う。