Google サービス アカウントを使用すると、Cloud Monitoring などの Google Cloud サービスにアクセスするために必要な権限を Knative serving サービスに付与できます。各サービス アカウントでは、Kubernetes Secret を介して各サービスに関連付けることが可能な特定の Identity and Access Management(IAM)権限セットを定義できます。
サービス アカウントは、次の手順で作成できます。サービス アカウントの作成と管理の詳細については、Identity and Access Management のドキュメントをご覧ください。
コンソール
Google Cloud コンソールでサービス アカウントを作成して、JSON キーファイルをダウンロードするには:
Google Cloud コンソールで [サービス アカウント] ページに移動します。
[add サービス アカウントを作成] をクリックします。
[サービス アカウントの詳細] で、[サービス アカウント名] に任意の名前を指定します。
オプションで、サービス アカウント ID を変更して説明を追加します。
[作成して続行] をクリックします。
[このサービス アカウントにプロジェクトへのアクセスを許可する] で、[ロールを選択] プルダウン リストから、サービス アカウントに付与する権限のロールを 1 つ以上選択します。たとえば、モニタリング指標の書き込みロールなどです。
[続行] をクリックして、次の操作を行います。
必要に応じて、サービス アカウントに関連付けるユーザーかグループを指定できます。
[完了] をクリックして、サービス アカウントを作成します。
サービス アカウントのリストで、作成したサービス アカウントの横にある more_vert [操作] > [鍵を管理] の順にクリックします。
[鍵を追加] > [新しい鍵を作成] の順にクリックします。
[キーのタイプ] で、[JSON] を選択します。
[作成] をクリックします。
gcloud
gcloud CLI で次の操作を行う方法については、それぞれのページをご覧ください。
キーを作成し、サービス アカウントの認証情報を含む JSON ファイルをダウンロードしたら、そのキーを使用して Knative serving サービスに関連付けることができるシークレットを作成します。
シークレットを作成してサービスに関連付ける方法については、シークレットの使用をご覧ください。
次のステップ
サービスへのアクセスを管理する方法を確認する。