Cloud Load Balancing を使用するときに API リクエストを行います。各 API リクエストを行う Identity and Access Management(IAM)プリンシパルには、関連するリソースを作成、変更、削除するための適切な権限が必要です。
IAM では、Google Cloud リソースに対するアクセス権を直接エンドユーザーに付与することはありません。複数の権限をロールにまとめて、認証されたプリンシパルに付与します。プリンシパルのタイプには、ユーザー、グループ、サービス アカウント、Google ドメインがあります。IAM ポリシーで、どのプリンシパルにどのロールを付与するかを定義し、このポリシーをリソースに接続します。
このページでは、関連する IAM のロールと Cloud Load Balancing の権限の概要について説明します。IAM の詳細については、IAM のドキュメントをご覧ください。
ロールと権限
ロード バランシングの入門ガイドの例を試す前に、プリンシパルはインスタンス、ファイアウォール ルール、VPC ネットワークを作成する必要があります。次のいずれかの方法で必要な権限を指定できます。
ロード バランシングに関する事前定義ロールを付与します。事前定義ロールに含まれる特定の権限を表示する方法については、次のセクションをご覧ください。
- Compute ロードバランサ管理者のロール
(
roles/compute.loadBalancerAdmin) - Compute ネットワーク管理者のロール
(
roles/compute.networkAdmin) - Compute セキュリティ管理者のロール
(
roles/compute.securityAdmin) - Compute インスタンス管理者のロール
(
roles/compute.instanceAdmin)
- Compute ロードバランサ管理者のロール
(
少なくとも事前定義ロールに含まれる権限を含むカスタムロールを作成して付与します。
基本ロールを使用して、プリンシパルにプロジェクト オーナーまたはプロジェクト編集者のロールを付与します。可能であれば、基本ロールは使用しないでください。基本ロールは多くの権限を与えるため、最小権限の原則に反します。
ロール変更のレイテンシ
Cloud Load Balancing は IAM 権限を 5 分間キャッシュに保存します。このため、ロールの変更が反映されるまでに最大で 5 分ほどかかります。
IAM を使用した Cloud Load Balancing のアクセス制御の管理
IAM ポリシーは、Google Cloud Console、IAM API、Google Cloud CLI を使用して取得と設定ができます。詳細については、アクセス権の付与、変更、取り消しをご覧ください。
次のステップ
- IAM の詳細について学習する。
- IAM ロールを付与する。
- 転送ルールの Cloud IAM Conditions について学習する。
- Cloud Load Balancing の組織のポリシーに関する制約を学習する。