Cloud Run ジョブには、Cloud Run インスタンス コンテナから Google Cloud APIs にアクセスするための認証済みアカウントとして使用されるサービス ID があります。サービス ID の詳細については、サービス ID の概要をご覧ください。
サービス ID の使用方法
Cloud Run では、サービス ID はリソースとプリンシパルの両方の機能を持つサービス アカウントです。
- リソースとしてのサービス ID: サービス ID としてサービス アカウントを関連付けるには、デプロイ担当者アカウントにサービス ID リソースへのアクセス権が必要です。ジョブの作成や更新などの一部のオペレーションでは、デプロイ担当者アカウントにサービス ID リソースに対する権限が必要です。
- プリンシパルとしてのサービス ID: Cloud Run ジョブから Google Cloud APIs にアクセスするには、サービス ID に対し、ジョブで実行するオペレーションに必要なロールまたは権限を付与する必要があります。
次のセクションでは、デプロイ担当者アカウントにサービス ID リソースへのアクセス権を付与するために必要なロールと、サービス アカウント プリンシパルへのアクセス権を付与するために必要なロールについて説明します。
必要なロール
ユーザーまたは管理者が、デプロイ担当者アカウントとサービス ID に IAM ロールと権限を付与する必要があります。
ここをクリックしてデプロイ担当者アカウントに必要なロールを表示
ジョブのサービス ID としてサービス アカウントを関連付けるために必要な権限を取得するには、ユーザーまたは管理者が、サービス ID として使用されるサービス アカウントに対するサービス アカウント ユーザーのロール(roles/iam.serviceAccountUser
)をデプロイ担当者アカウントに付与する必要があります。
この事前定義ロールには、ジョブにサービス アカウントを関連付けるために必要な iam.serviceAccounts.actAs
権限が含まれています。この権限を取得するには、カスタムロールを構成するか、他の事前定義ロールを使用することもできます。
デプロイ担当者アカウントにサービス ID のこのロールを付与する方法については、デプロイ権限をご覧ください。サービス アカウントが Cloud Run ジョブとは異なるプロジェクトにある場合は、ユーザーまたは管理者が Cloud Run サービス エージェントの IAM ロールを構成し、組織のポリシーを設定する必要があります。詳細については、他のプロジェクトでサービス アカウントを使用するをご覧ください。
ここをクリックしてサービス ID に必要なロールを表示
サービス ID が Cloud Run から Google Cloud APIs にアクセスできるようにするには、実行するオペレーションで必要な権限またはロールをサービス ID に付与する必要があります。特定の Cloud クライアント ライブラリにアクセスするには、該当する Google Cloud サービスの Google Cloud ドキュメントをご覧ください。
Cloud Run ジョブが他の Google Cloud サービスにアクセスしない場合、サービス ID にロールや権限を付与する必要はありません。プロジェクトに割り当てられたデフォルトのサービス アカウントを使用できます。
専用のサービス アカウントを作成するための推奨事項を受け取る
Google Cloud コンソールから新しいサービス アカウントを作成する際、オプションの「このサービス アカウントにプロジェクトへのアクセス権を付与する」という手順は、追加のアクセスが必要な場合に使用します。たとえば、ある Cloud Run サービスから別の非公開の Cloud Run サービスを呼び出す場合や、Cloud SQL データベースにアクセスする場合は、どちらにも特定の IAM ロールが必要です。詳細については、アクセスの管理に関するドキュメントをご覧ください。
Recommender サービスでも、必要最小限の権限セットで専用のサービス アカウントを作成するための推奨事項を自動的に提供しています。
サービス ID を構成する
Cloud Run でサービス ID を構成または指定するには、新しいジョブを作成して実行するときに、Google Cloud コンソール、gcloud CLI、または API(YAML)を使用します。
コンソール
Google Cloud コンソールで Cloud Run の [ジョブ] ページに移動します。
[コンテナをデプロイ] をクリックし、[ジョブ] を選択して、ジョブの初期設定ページに入力します。既存のジョブを構成する場合は、ジョブをクリックして [編集] をクリックします。
[コンテナ、変数とシークレット、接続、セキュリティ] をクリックして、ジョブのプロパティ ページを開きます。
[セキュリティ] タブをクリックします。
- [サービス アカウント] プルダウンをクリックして既存のサービス アカウントを選択するか、[サービス アカウントを新規作成] をクリックします。
[作成] または [更新] をクリックします。
gcloud
次のコマンドを使用して、新しいジョブを作成し、サービス アカウントを指定できます。
gcloud run jobs create JOB_NAME --service-account SERVICE_ACCOUNT
次のように置き換えます。
- JOB_NAME: 実際のサービスの名前。
- SERVICE_ACCOUNT: 新しい ID に関連付けられたサービス アカウント。この値は、サービス アカウントのメールアドレス(
example@myproject.iam.gserviceaccount.com
など)です。
次のコマンドを使用して、新しいサービス アカウントを使用するように既存のジョブを更新できます。
gcloud run jobs update JOB_NAME --image IMAGE_URL --service-account SERVICE_ACCOUNT
次のように置き換えます。
- IMAGE_URL: コンテナ イメージへの参照(
us-docker.pkg.dev/cloudrun/container/hello:latest
など)。Artifact Registry を使用する場合は、リポジトリ REPO_NAME がすでに作成されている必要があります。URL の形式はLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
です。 - SERVICE_ACCOUNT: 新しい ID に関連付けられたサービス アカウント。この値は、サービス アカウントのメールアドレス(
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
など)です。
YAML
サービス アカウントをまだ作成していない場合は、IAM でユーザー管理のサービス アカウントを作成します。
新しいジョブを作成する場合は、この手順をスキップします。既存のジョブを更新する場合は、その YAML 構成をダウンロードします。
gcloud run jobs describe JOB_NAME --format export > job.yaml
serviceAccountName:
属性を更新します。apiVersion: run.googleapis.com/v1 kind: Job metadata: name: JOB_NAME spec: template: spec: template: spec: serviceAccountName: SERVICE_ACCOUNT
次のように置き換えます。
- JOB_NAME: Cloud Run ジョブの名前。
- SERVICE_ACCOUNT: 新しい ID に関連付けられたサービス アカウント。この値は、サービス アカウントのメールアドレス(
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
など)です。
既存のジョブ構成を更新します。
gcloud run jobs replace job.yaml
他のプロジェクトでサービス アカウントを使用する
Cloud Run リソースとは異なる Google Cloud プロジェクトからサービス アカウントを構成する場合は、次の操作を行います。
ユーザーまたは管理者が、サービス ID として使用するサービス アカウントに、サービス アカウント ユーザーのロール(
roles/iam.serviceAccountUser
)を付与します。コンソール
Google Cloud コンソールの [サービス アカウント] ページに移動します。
サービス ID として使用しているサービス アカウントのメールアドレスを選択します。
[権限] タブをクリックします。
アクセス権を付与
ボタンをクリックします。管理者またはデベロッパーのロールを付与するプリンシパルに対応するデプロイ担当者のアカウントのメールアドレスを入力します。
[ロールを選択] プルダウンで、[サービス アカウント] > [サービス アカウント ユーザー] ロールを選択します。
[保存] をクリックします。
gcloud
gcloud iam service-accounts add-iam-policy-binding
コマンドを使用し、ハイライト表示された変数を適切な値に置き換えます。gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="PRINCIPAL" \ --role="roles/iam.serviceAccountUser"
次のように置き換えます。
SERVICE_ACCOUNT_NAME
: Cloud Run リソースを接続するサービス アカウントの名前。SERVICE_ACCOUNT_PROJECT_ID
: サービス アカウントが配置されているプロジェクト ID。PRINCIPAL は、バインドを追加するデプロイ担当者のアカウントに置き換えます。形式は
user|group|serviceAccount:email
またはdomain:domain
です。次に例を示します。user:test-user@gmail.com
group:admins@example.com
serviceAccount:test123@example.domain.com
domain:example.domain.com
ユーザーまたは管理者が、サービス ID として使用するサービス アカウントに対するサービス アカウント トークン作成者ロール(
roles/iam.serviceAccountTokenCreator
)を Cloud Run リソースのサービス エージェントに付与します。サービス エージェントはservice-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com
の形式です。コンソール
Google Cloud コンソールの [サービス アカウント] ページに移動します。
サービス ID として使用しているサービス アカウントのメールアドレスを選択します。
[権限] タブをクリックします。
アクセス権を付与
ボタンをクリックします。サービス エージェントのメールアドレスを入力します。例:
service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com
。[ロールを選択] プルダウンで、[サービス アカウント] > [サービス アカウント トークン作成者] ロールを選択します。
[保存] をクリックします。
gcloud
gcloud iam service-accounts add-iam-policy-binding
コマンドを使用します。gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="serviceAccount:service-CLOUD_RUN_RESOURCE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"
次の値を置き換えます。
SERVICE_ACCOUNT_NAME
: Cloud Run リソースを接続するサービス アカウントの名前。SERVICE_ACCOUNT_PROJECT_ID
: サービス アカウントが配置されているプロジェクト ID。CLOUD_RUN_RESOURCE_PROJECT_NUMBER
: Cloud Run が配置されているプロジェクト番号。
このコマンドでは、ユーザー管理のサービス アカウントの更新済みの許可ポリシーが出力されます。
このサービス アカウントを含むプロジェクトで、組織ポリシー
iam.disableCrossProjectServiceAccountUsage
をフォルダレベルで false または unenforced に設定するか、プロジェクト レベルの設定から継承します。デフォルトはtrue
です。コンソール
Google Cloud コンソールの [組織のポリシー] ページに移動します。
プロジェクト選択ツールで、プロジェクト間のサービス アカウントの使用を無効にする組織とプロジェクトを選択します。
プロジェクト間サービス アカウントの使用の無効化ポリシーを選択します。
[ポリシーを管理] をクリックします。
[ポリシーのソース] で、[親のポリシーをオーバーライドする] を選択します。
[ルールの追加] をクリックします。
[適用] で [オフ] を選択します。
ポリシーを適用するには、[ポリシーを設定] をクリックします。
gcloud
サービス アカウントがあるプロジェクトで、
iam.disableCrossProjectServiceAccountUsage
組織のポリシー制約が適用されていないことを確認します。この制約はデフォルトで適用されます。この組織のポリシーの制約を無効にするには、次のコマンドを実行します。
gcloud resource-manager org-policies disable-enforce iam.disableCrossProjectServiceAccountUsage --project=SERVICE_ACCOUNT_PROJECT_ID
SERVICE_ACCOUNT_PROJECT_ID は、サービス アカウントを含むプロジェクト ID に置き換えます。
ロールのメンバーシップは、サービス アカウント リソースに直接適用することも、上位のリソース階層から継承することもできます。
次のステップ
- サービス アカウントの詳細については、IAM サービス アカウントとユーザー管理のサービス アカウントのガイドをご覧ください。
- Cloud Run サービスまたはジョブが Google API または Google Cloud サービスにアクセスする場合は、サービス アカウントをサービス ID として構成する必要があります。詳細