Cloud Run ジョブには、Cloud Run インスタンス コンテナから Google Cloud APIs にアクセスするための認証済みアカウントとして使用されるサービス ID があります。サービス ID の詳細については、サービス ID の概要をご覧ください。
サービス ID の使用方法
Cloud Run では、サービス ID はリソースとプリンシパルの両方の機能を持つサービス アカウントです。
- リソースとしてのサービス ID: サービス ID としてサービス アカウントを関連付けるには、デプロイ担当者アカウントにサービス ID リソースへのアクセス権が必要です。ジョブの作成や更新などのオペレーションでは、デプロイ担当者アカウントにサービス ID リソースに対する権限が必要です。
- プリンシパルとしてのサービス ID: Cloud Run ジョブから Google Cloud APIs にアクセスするには、ジョブで実行するオペレーションに必要なロールまたは権限をサービス ID に付与する必要があります。
次のセクションでは、デプロイ担当者アカウントにサービス ID リソースへのアクセス権を付与するために必要なロールと、サービス アカウント プリンシパルへのアクセス権を付与するために必要なロールについて説明します。
必要なロール
デプロイ担当者アカウントとサービス ID に IAM ロールと権限を付与する必要があります。
ここをクリックしてデプロイ担当者のアカウントに必要なロールを表示
ジョブのサービス ID としてサービス アカウントを関連付けるために必要な権限を取得するには、サービス ID として使用されるサービス アカウントに対するサービス アカウント ユーザーのロール(roles/iam.serviceAccountUser)をデプロイ担当者アカウントに付与する必要があります。
この事前定義ロールには、ジョブにサービス アカウントを関連付けるために必要な iam.serviceAccounts.actAs 権限が含まれています。カスタムロールを構成するか、他の事前定義ロールを使用して、この権限を取得することもできます。
デプロイ担当者アカウントにサービス ID のこのロールを付与する方法については、デプロイ権限をご覧ください。サービス アカウントが Cloud Run ジョブとは異なるプロジェクトにある場合は、Cloud Run サービス エージェントの IAM ロールを構成し、組織のポリシーを設定する必要があります。詳細については、他のプロジェクトでサービス アカウントを使用するをご覧ください。
ここをクリックしてサービス ID に必要なロールを表示
サービス ID が Cloud Run から Google Cloud APIs にアクセスできるようにするには、実行するオペレーションで必要な権限またはロールをサービス ID に付与する必要があります。特定の Cloud クライアント ライブラリにアクセスするには、Google Cloud サービスの Google Cloud ドキュメントをご覧ください。
Cloud Run ジョブが他の Google Cloud サービスにアクセスしない場合、サービス ID にロールや権限を付与する必要はありません。プロジェクトに割り当てられたデフォルトのサービス アカウントを使用できます。
専用のサービス アカウントを作成するための推奨事項を取得する
Google Cloud コンソールから新しいサービス アカウントを作成する場合は、オプションの「このサービス アカウントにプロジェクトへのアクセス権を付与する」追加の手順が必要です。たとえば、ある Cloud Run サービスから別のプライベート Cloud Run サービスを呼び出す場合や、Cloud SQL データベースにアクセスする場合は、どちらにも特定の IAM ロールが必要です。詳細については、アクセスの管理に関するドキュメントをご覧ください。
Recommender サービスは、必要最小限の権限セットで専用のサービス アカウントを作成するための推奨事項を自動的に提供します。
サービス ID を構成する
Cloud Run でサービス ID を構成または指定するには、新しいジョブを作成して実行するときに、Google Cloud コンソール、gcloud CLI、または API(YAML)を使用します。
コンソール
Google Cloud コンソールで Cloud Run の [ジョブ] ページに移動します。
新しいジョブを構成する場合は、[ジョブ] タブをクリックし、必要に応じて初期ジョブ設定ページを入力します。既存のジョブを構成する場合は、ジョブをクリックして [編集] をクリックします。
[コンテナ、変数とシークレット、接続、セキュリティ] をクリックして、ジョブのプロパティ ページを開きます。
[セキュリティ] タブをクリックします。
- [サービス アカウント] プルダウンをクリックして既存のサービス アカウントを選択するか、[サービス アカウントを新規作成] をクリックします。
[作成] または [更新] をクリックします。
gcloud
次のコマンドを使用して、新しいジョブを作成し、サービス アカウントを指定できます。
gcloud run jobs create JOB_NAME --service-account SERVICE_ACCOUNT
次のように置き換えます。
- JOB_NAME は、実際のサービスの名前に置き換えます。
- SERVICE_ACCOUNT は、新しい ID に関連付けられたサービス アカウントに置き換えます。この値は、サービス アカウントのメールアドレス(
example@myproject.iam.gserviceaccount.comなど)です。
次のコマンドを使用して、新しいサービス アカウントを使用するように既存のジョブを更新できます。
gcloud run jobs update JOB_NAME --image IMAGE_URL --service-account SERVICE_ACCOUNT
次のように置き換えます。
- IMAGE_URL: コンテナ イメージへの参照(
us-docker.pkg.dev/cloudrun/container/hello:latestなど)。Artifact Registry を使用する場合は、リポジトリ REPO_NAME がすでに作成されている必要があります。URL の形式はLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAGです。 - SERVICE_ACCOUNT は、新しい ID に関連付けられたサービス アカウントに置き換えます。この値は、サービス アカウントのメールアドレス(
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.comなど)です。
YAML
サービス アカウントをまだ作成していない場合は、IAM でユーザー管理のサービス アカウントを作成します。
新しいジョブを作成する場合は、この手順をスキップします。既存のジョブを更新する場合は、その YAML 構成をダウンロードします。
gcloud run jobs describe JOB_NAME --format export > job.yaml
serviceAccountName:属性を更新します。apiVersion: run.googleapis.com/v1 kind: Job metadata: name: JOB_NAME spec: template: spec: template: spec: serviceAccountName: SERVICE_ACCOUNT次のように置き換えます。
- JOB_NAME: Cloud Run ジョブの名前。
- SERVICE_ACCOUNT: 新しい ID に関連付けられたサービス アカウント。この値は、サービス アカウントのメールアドレス(
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.comなど)です。
既存のジョブ構成を更新します。
gcloud run jobs replace job.yaml
他のプロジェクトでサービス アカウントを使用する
Cloud Run リソースとは異なる Google Cloud プロジェクトからサービス アカウントを構成する場合は、次の操作を行います。
サービス ID として使用するサービス アカウントに、サービス アカウント ユーザーのロール(
roles/iam.serviceAccountUser)を付与する必要があります。コンソール
Google Cloud コンソールの [サービス アカウント] ページに移動します。
サービス ID として使用しているサービス アカウントのメールアドレスを選択します。
[権限] タブをクリックします。
アクセス権を付与 ボタンをクリックします。
管理者またはデベロッパーのロールを付与するプリンシパルに対応するデプロイ担当者のアカウントのメールアドレスを入力します。
[ロールを選択] プルダウンで、[サービス アカウント] > [サービス アカウント ユーザー] ロールを選択します。
[保存] をクリックします。
gcloud
gcloud iam service-accounts add-iam-policy-bindingコマンドを使用し、ハイライト表示された変数を適切な値に置き換えます。gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="PRINCIPAL" \ --role="roles/iam.serviceAccountUser"次のように置き換えます。
SERVICE_ACCOUNT_NAME: Cloud Run リソースを接続するサービス アカウントの名前。SERVICE_ACCOUNT_PROJECT_ID: サービス アカウントが配置されているプロジェクト ID。PRINCIPAL は、バインドを追加するデプロイ担当者のアカウントに置き換えます。形式は
user|group|serviceAccount:emailまたはdomain:domainです。次に例を示します。user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
ユーザーまたは管理者は、サービス ID として使用するサービス アカウントに対するサービス アカウント トークン作成者ロール(
roles/iam.serviceAccountTokenCreator)を Cloud Run リソースのサービス エージェントに付与する必要があります。サービス エージェントはservice-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.comの形式です。コンソール
Google Cloud コンソールの [サービス アカウント] ページに移動します。
サービス ID として使用しているサービス アカウントのメールアドレスを選択します。
[権限] タブをクリックします。
アクセス権を付与 ボタンをクリックします。
サービス エージェントのメールアドレスを入力します。例:
service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com。[ロールを選択] プルダウンで、[サービス アカウント] > [サービス アカウント トークン作成者] ロールを選択します。
[保存] をクリックします。
gcloud
gcloud iam service-accounts add-iam-policy-bindingコマンドを使用します。gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="serviceAccount:service-CLOUD_RUN_RESOURCE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"次の値を置き換えます。
SERVICE_ACCOUNT_NAME: Cloud Run リソースを接続するサービス アカウントの名前。SERVICE_ACCOUNT_PROJECT_ID: サービス アカウントが配置されているプロジェクト ID。CLOUD_RUN_RESOURCE_PROJECT_NUMBER: Cloud Run が配置されているプロジェクト番号。
このコマンドでは、ユーザー管理のサービス アカウントの更新済みの許可ポリシーが出力されます。
このサービス アカウントを含むプロジェクトでは、組織ポリシー
iam.disableCrossProjectServiceAccountUsageをフォルダレベルで false または unenforced に設定するか、プロジェクト レベルの設定から継承する必要があります。デフォルトはtrueです。コンソール
Google Cloud コンソールの [組織のポリシー] ページに移動します。
プロジェクト選択ツールで、プロジェクト間のサービス アカウントの使用を無効にする組織とプロジェクトを選択します。
プロジェクト間サービス アカウントの使用の無効化ポリシーを選択します。
[ポリシーを管理] をクリックします。
[ポリシーのソース] で、[親のポリシーをオーバーライドする] を選択します。
[ルールの追加] をクリックします。
[適用] で [オフ] を選択します。
ポリシーを適用するには、[ポリシーを設定] をクリックします。
gcloud
サービス アカウントがあるプロジェクトで、
iam.disableCrossProjectServiceAccountUsage組織のポリシー制約が適用されていないことを確認します。この制約はデフォルトで適用されます。この組織のポリシーの制約を無効にするには、次のコマンドを実行します。
gcloud resource-manager org-policies disable-enforce iam.disableCrossProjectServiceAccountUsage --project=SERVICE_ACCOUNT_PROJECT_IDSERVICE_ACCOUNT_PROJECT_ID は、サービス アカウントを含むプロジェクト ID に置き換えます。
ロール・メンバーシップをサービス アカウント リソースに直接適用することも、リソース階層の上位レベルから継承することもできます。
次のステップ
- サービス アカウントの詳細については、IAM サービス アカウントとユーザー管理のサービス アカウントのガイドをご覧ください。
- Cloud Run サービスまたはジョブが Google API または Google Cloud サービスにアクセスする場合は、サービス アカウントをサービス ID として構成する必要があります。詳細