このドキュメントでは、プログラムで reCAPTCHA に対する認証を行う方法について説明します。reCAPTCHA に対する認証方法は、API へのアクセスに使用するインターフェースと、コードが実行されている環境によって異なります。
Google Cloud の認証の詳細については、認証の概要をご覧ください。
API アクセス
reCAPTCHA はプログラムによるアクセスをサポートしています。次の方法で API にアクセスできます。
クライアント ライブラリ
reCAPTCHA による認証をプログラムで行うため、reCAPTCHA クライアント ライブラリは、高水準言語に対応しています。Google Cloud APIs の呼び出しを認証するために、クライアント ライブラリではアプリケーションのデフォルト認証情報(ADC)がサポートされています。このライブラリは、一連の定義済みのロケーションの中から認証情報を探し、その認証情報を使用して API へのリクエストを認証します。ADC を使用すると、アプリケーション コードを変更することなく、ローカルでの開発や本番環境など、さまざまな環境のアプリケーションで認証情報を使用できるようになります。
Google Cloud CLI
gcloud CLI を使用して reCAPTCHA にアクセスする場合は、gcloud CLI コマンドで使用される認証情報を提供するユーザー アカウントで gcloud CLI にログインします。
組織のセキュリティ ポリシーによってユーザー アカウントに必要な権限が与えられない場合は、サービス アカウントの権限借用を使用できます。
詳細については、gcloud CLI を使用して認証するをご覧ください。reCAPTCHA で gcloud CLI を使用する方法については、gcloud CLI のリファレンス ページをご覧ください。
REST
reCAPTCHA API での認証には、gcloud CLI 認証情報またはアプリケーションのデフォルト認証情報を使用します。REST リクエストの認証の詳細については、REST を使用して認証するをご覧ください。認証情報の種類については、gcloud CLI の認証情報と ADC の認証情報をご覧ください。
API キー
API キーは、API 呼び出しをプロジェクトに関連付ける方法であり、呼び出し元の身元を特定することなく、請求と割り当てに関する処理を行うのに使用されます。API キーは、API キーをサポートする API メソッドでのみ使用できます。
reCAPTCHA は、次の API メソッドに対して API キーをサポートしています。
projects.assessments.create
projects.assessments.annotate
ListRelatedAccountGroupMemberships
ListRelatedAccountGroups
SearchRelatedAccountGroupMemberships
ListFirewallPolicies
API キーの使用に関する一般的な情報については、API キーを使用して認証するをご覧ください。
reCAPTCHA の認証を設定する
認証の設定方法は、コードが実行されている環境によって異なります。
認証の設定には、次のオプションが最も一般的に使用されます。認証のその他のオプションと詳細については、認証方法をご覧ください。
ローカル開発環境の場合
ローカル開発環境の認証情報は、次の方法で設定できます。
クライアント ライブラリまたはサードパーティ ツール
ローカル環境でアプリケーションのデフォルト認証情報(ADC)を設定します。
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
ログイン画面が表示されます。ログインすると、ADC で使用されるローカル認証情報ファイルに認証情報が保存されます。
ローカル環境での ADC 操作の詳細については、ローカル開発環境の ADC を設定するをご覧ください。
コマンドラインからの REST リクエスト
コマンドラインから REST リクエストを行う場合は、リクエストを送信するコマンドの一部として gcloud auth print-access-token
を含めることで、gcloud CLI 認証情報を使用できます。
次の例では、指定したプロジェクトのサービス アカウントを一覧表示します。どの REST リクエストに対しても、同じパターンを使用できます。
リクエストのデータを使用する前に、次のように置き換えます。
- PROJECT_ID: Google Cloud プロジェクト ID。
リクエストを送信するには、次のいずれかのオプションを開きます。
REST と gRPC を使用した認証の詳細については、REST の使用に対する認証をご覧ください。ローカル ADC 認証情報と gcloud CLI 認証情報の違いについては、gcloud CLI 認証構成と ADC 構成をご覧ください。
サービス アカウントの権限借用
ほとんどの場合、ユーザー認証情報を使用してローカル開発環境から認証できます。これが不可能な場合、またはサービス アカウントに割り当てられた権限をテストする必要がある場合は、サービス アカウントの権限借用を使用できます。iam.serviceAccounts.getAccessToken
権限が必要です。この権限は、サービス アカウント トークン作成者(roles/iam.serviceAccountTokenCreator
)IAM ロールに含まれています。
サービス アカウントの権限借用を使用するように gcloud CLI を設定するには、gcloud config set
コマンドを使用します。
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
一部の言語では、サービス アカウントの権限借用を使用して、クライアント ライブラリで使用するローカル ADC ファイルを作成できます。このアプローチは、Go、Java、Node.js、Python のクライアント ライブラリでのみサポートされています。他の言語ではサポートされていません。サービス アカウントの権限借用を使用してローカル ADC ファイルを設定するには、gcloud auth application-default login
コマンドで --impersonate-service-account
フラグを使用します。
gcloud auth application-default login --impersonate-service-account=SERVICE_ACCT_EMAIL
サービス アカウントの権限借用の詳細については、サービス アカウントの権限借用を使用するをご覧ください。
Google Cloud
Google Cloud で実行されているワークロードを認証するには、Compute Engine 仮想マシン(VM)インスタンスなど、コードが実行されているコンピューティング リソースにアタッチされているサービス アカウントの認証情報を使用します。 このアプローチは、Google Cloud コンピューティング リソースで実行されているコードの推奨認証方法です。
ほとんどのサービスでは、コードを実行するリソースの作成時にサービス アカウントを関連付ける必要があります。サービス アカウントを後から追加または置換することはできません。Compute Engine は例外で、サービス アカウントをいつでも VM インスタンスに関連付けることができます。
gcloud CLI を使用してサービス アカウントを作成し、リソースに接続します。
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
-
Set up authentication:
-
Create the service account:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
Replace
SERVICE_ACCOUNT_NAME
with a name for the service account. -
To provide access to your project and your resources, grant a role to the service account:
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
Replace the following:
SERVICE_ACCOUNT_NAME
: the name of the service accountPROJECT_ID
: the project ID where you created the service accountROLE
: the role to grant
- To grant another role to the service account, run the command as you did in the previous step.
-
Grant the required role to the principal that will attach the service account to other resources.
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
Replace the following:
SERVICE_ACCOUNT_NAME
: the name of the service accountPROJECT_ID
: the project ID where you created the service accountUSER_EMAIL
: the email address for a Google Account
-
-
コードを実行するリソースを作成し、そのリソースにサービス アカウントを関連付けます。たとえば、Compute Engine を使用する場合は次のようになります。
Create a Compute Engine instance. Configure the instance as follows:-
INSTANCE_NAME
を必要なインスタンス名に置き換えます。 -
インスタンスを作成するゾーンに
--zone
フラグを設定します。 -
--service-account
フラグに、作成したサービス アカウントのメールアドレスを設定します。
gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL
-
Google API に対する認証について詳しくは、認証方法をご覧ください。
オンプレミスまたは別のクラウド プロバイダ
Google Cloud の外部から認証を設定する際の推奨方法は、Workload Identity 連携の使用です。詳細については、認証ドキュメントのオンプレミスまたは他のクラウド プロバイダの ADC を設定するをご覧ください。
reCAPTCHA のアクセス制御
reCAPTCHA に対する認証を受けた後に Google Cloud リソースにアクセスするには、認可を受ける必要があります。reCAPTCHA は、Identity and Access Management(IAM)を使用して認可を行います。
reCAPTCHA のロールの詳細については、IAM によるアクセス制御をご覧ください。IAM と認可の詳細については、IAM の概要をご覧ください。
次のステップ
- Google Cloud の認証方法を確認する。
- 認証のユースケースを確認する。