アクセス制御

このドキュメントでは、Pub/Sub Lite のアクセス制御オプションについて説明します。Pub/Sub Lite では、アクセス制御に Identity and Access Management を使用します。

ユーザーまたはアプリケーションに Pub/Sub Lite リソースへのアクセスを許可するには、少なくとも 1 つの事前定義されたロールか、カスタムロールをアプリケーションが使用するユーザーまたはサービス アカウントに付与します。ロールには、Pub/Sub Lite リソースに対して特定のアクションを実行する権限が含まれます。

ロール

次の表に、Pub/Sub Lite リソースへのアクセスを許可する事前定義済みのロールを一覧表示します。

ロール 役職 説明 権限
roles/pubsublite.admin Pub/Sub Lite 管理者ベータ版 Lite トピックと Lite サブスクリプションへの完全アクセス権。 pubsublite.*
roles/pubsublite.editor Pub/Sub Lite 編集者ベータ版 Lite トピックと Lite サブスクリプションを変更し、Lite トピックにメッセージをパブリッシュして、Lite サブスクリプションからメッセージを受信します。 pubsublite.*
roles/pubsublite.publisher Pub/Sub Lite パブリッシャーベータ版 Lite トピックにメッセージをパブリッシュします。 pubsublite.topics.publish
roles/pubsublite.subscriber Pub/Sub Lite サブスクライバーベータ版 Lite サブスクリプションからメッセージを受信します。
  • pubsublite.subscriptions.getCursor
  • pubsublite.subscriptions.setCursor
  • pubsublite.subscriptions.subscribe
  • pubsublite.topics.getPartitions
  • pubsublite.topics.subscribe
roles/pubsublite.viewer Pub/Sub Lite 閲覧者ベータ版 Lite トピックと Lite サブスクリプションを表示します。
  • pubsublite.subscriptions.get
  • pubsublite.subscriptions.getCursor
  • pubsublite.subscriptions.list
  • pubsublite.topics.get
  • pubsublite.topics.getPartitions
  • pubsublite.topics.list
  • pubsublite.topics.listSubscriptions

カスタムロール

カスタムロールには、指定した権限を含めることができます。Lite トピックの更新や Lite サブスクリプションの削除など、特定の管理オペレーションを実行する権限を含むカスタムロールを作成できます。カスタムロールを作成するには、カスタムロールの作成と管理をご覧ください。

次の表に、カスタムロールの例を一覧表示します。

説明 権限
Lite トピックを作成して管理します。
  • pubsublite.topics.create
  • pubsublite.topics.update
  • pubsublite.topics.get
  • pubsublite.topics.getPartitions
  • pubsublite.topics.list
  • pubsublite.topics.listSubscriptions
  • pubsublite.topics.delete
Lite サブスクリプションを作成して管理します。
  • pubsublite.subscriptions.create
  • pubsublite.topics.subscribe
  • pubsublite.subscriptions.update
  • pubsublite.subscriptions.get
  • pubsublite.subscriptions.list
  • pubsublite.subscriptions.delete
Lite トピックと Lite サブスクリプションを作成します。
  • pubsublite.topics.create
  • pubsublite.subscriptions.create
  • pubsublite.topics.subscribe
Lite トピックと Lite サブスクリプションを変更します。
  • pubsublite.topics.update
  • pubsublite.subscriptions.update
Lite トピックと Lite サブスクリプションを削除します。
  • pubsublite.topics.delete
  • pubsublite.subscriptions.delete

ロールの付与

プロジェクト レベルで Pub/Sub Lite リソースにアクセスするためのロールを付与できます。たとえば、サービス アカウントにプロジェクト内の任意の Lite トピックを表示するための権限を付与できますが、単一の Lite トピックを表示するための権限は付与できません。

プロジェクトに対するロールを付与するには、Cloud Console または gcloud コマンドライン ツールを使用できます。

コンソール

ユーザー、サービス アカウント、またはその他のメンバーにロールを付与するには、次の手順を行います。

  1. Cloud Console で [IAM] ページに移動します。

    IAM に移動

  2. [追加] をクリックします。

  3. ユーザー、サービス アカウント、その他のメンバーのメールアドレスを入力します。

  4. ロールを選択します。

  5. [保存] をクリックします。

gcloud

ユーザー、サービス アカウント、またはその他のメンバーにロールを付与するには、gcloud projects add-iam-policy-binding コマンドを実行します。

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=ROLE_ID

以下を置き換えます。

また、現在の IAM ポリシーが含まれる JSON ファイルまたは YAML ファイルを取得して、複数のロールまたはメンバーをファイルに追加し、ポリシーを更新することもできます。ポリシーの読み取りや管理を行うには、gcloud コマンドライン ツール、IAM API、または IAM を使用します。詳細については、プログラムによるアクセスの制御をご覧ください。

次のステップ