Cloud Run（フルマネージド）のサービスアカウント

このページでは、特定のサービスアカウントを Cloud Run（フルマネージド）サービスに割り当てる方法について説明します。

サービス ID の設定と更新

各サービスに専用の ID を割り当て、IAM を使用して最小限の権限セットを付与することによってアクセスを制限することをおすすめします。これを行うには、正しい IAM ロールを持つ名前付きのサービスアカウントを割り当てます。サービスアカウントは、Cloud Run（フルマネージド）サービスと同じプロジェクトでのみ使用できます。

デフォルト以外の ID の使用に必要な権限

デフォルト以外のサービスアカウントでサービスをデプロイするには、デプロイするサービスアカウントに対する iam.serviceAccounts.actAs 権限が必要です。

ユーザーがサービスアカウントを作成すると、この権限が自動的に付与されます。それ以外の場合は、正しい権限を持つユーザーがサービスアカウントに対するこの権限をデプロイ側に付与する必要があります。

デフォルト以外の ID を持つ新しいサービスのデプロイ

サービスを新しい ID でデプロイする前に、使用するサービスアカウントがすでに作成されていることを確認します。まだの場合は、アカウントを作成してください。詳しくは、サービスアカウントの作成と管理をご覧ください。

新しいサービスを作成する、または新しいリビジョンをデプロイするときに、Cloud Console または gcloud コマンドラインを使用して環境変数を設定できます。サービスアカウントを更新して、新しい ID に関連付けられたサービスアカウントのメールアドレスを反映させます。

Console

Cloud Run に移動します。
デプロイ先の新しいサービスを構成する場合は、[サービスの作成] をクリックします。既存のサービスを構成する場合は、サービスをクリックし、[新しいリビジョンの編集とデプロイ] をクリックします。
[詳細設定] で [コンテナ] をクリックします。
[サービスアカウント] プルダウンをクリックして、目的のサービスアカウントを選択します。
[作成] または [デプロイ] をクリックします。

gcloud

次のコマンドを使用して、新しいランタイムサービスアカウントを使用するように既存サービスを更新できます。

gcloud run services update SERVICE --service-account SERVICE_ACCOUNT

以下のように置き換えます。

SERVICE は、実際のサービスの名前に置き換えます。
SERVICE_ACCOUNT は、新しい ID に関連付けられたサービスアカウントに置き換えます。

また、デプロイ中に次のコマンドを使用してサービスアカウントを設定することもできます。

gcloud run deploy --image IMAGE_URL --service-account SERVICE_ACCOUNT