Google サービス アカウントを使用すると、Cloud Monitoring などの Google Cloud サービスにアクセスするために必要な権限を Knative serving サービスに付与できます。各サービス アカウントでは、Kubernetes Secret を介して各サービスに関連付けることが可能な特定の Identity and Access Management(IAM)権限セットを定義できます。
サービス アカウントは、次の手順で作成できます。サービス アカウントの作成と管理の詳細については、Identity and Access Management のドキュメントをご覧ください。
Google Cloud コンソールでサービス アカウントを作成して、JSON キーファイルをダウンロードするには:
Google Cloud コンソールで [サービス アカウント] ページに移動します。
[add サービス アカウントを作成] をクリックします。
[サービス アカウントの詳細] で、[サービス アカウント名] に任意の名前を指定します。
オプションで、サービス アカウント ID を変更して説明を追加します。
[作成して続行] をクリックします。
[このサービス アカウントにプロジェクトへのアクセスを許可する] で、[ロールを選択] プルダウン リストから、サービス アカウントに付与する権限のロールを 1 つ以上選択します。たとえば、モニタリング指標の書き込みロールなどです。
[続行] をクリックして、次の操作を行います。
必要に応じて、サービス アカウントに関連付けるユーザーかグループを指定できます。
[完了] をクリックして、サービス アカウントを作成します。
サービス アカウントのリストで、作成したサービス アカウントの横にある more_vert [操作] > [鍵を管理] の順にクリックします。
[鍵を追加] > [新しい鍵を作成] の順にクリックします。
[キーのタイプ] で、[JSON] を選択します。
[作成] をクリックします。
gcloud CLI で次の操作を行う方法については、それぞれのページをご覧ください。
キーを作成し、サービス アカウントの認証情報を含む JSON ファイルをダウンロードしたら、そのキーを使用して Knative serving サービスに関連付けることができるシークレットを作成します。
シークレットを作成してサービスに関連付ける方法については、シークレットの使用をご覧ください。
次のステップ
サービスへのアクセスを管理する方法を確認する。