Cloud Run サービスまたはリビジョンには、Cloud Run インスタンス コンテナから Google Cloud APIs にアクセスするための認証済みアカウントとして使用されるサービス ID があります。サービス ID の詳細については、サービス ID の概要をご覧ください。
サービス ID の使用方法
Cloud Run では、サービス ID はリソースとプリンシパルの両方の機能を持つサービス アカウントです。
- リソースとしてのサービス ID: サービス ID としてサービス アカウントを関連付けるには、デプロイ担当者アカウントにサービス ID リソースへのアクセス権が必要です。サービスまたはリビジョンの作成や更新などのオペレーションでは、デプロイ担当者アカウントにサービス ID リソースに対する権限が必要です。
- プリンシパルとしてのサービス ID: Cloud Run サービスまたはリビジョンから Google Cloud APIs にアクセスするには、サービスまたはリビジョンで実行するオペレーションに必要なロールまたは権限をサービス ID に付与する必要があります。
次のセクションでは、デプロイ担当者アカウントにサービス ID リソースへのアクセス権を付与するために必要なロールと、サービス アカウント プリンシパルへのアクセス権を付与するために必要なロールについて説明します。
必要なロール
ユーザーまたは管理者が、デプロイ担当者アカウントとサービス ID に IAM ロールと権限を付与する必要があります。
ここをクリックしてデプロイ担当者のアカウントに必要なロールを表示
サービスまたはリビジョンのサービス ID としてサービス アカウントを関連付けるために必要な権限を取得するには、サービス ID として使用されるサービス アカウントに対するサービス アカウント ユーザーのロール(roles/iam.serviceAccountUser
)をデプロイ担当者アカウントに付与する必要があります。
この事前定義ロールには、サービスまたはリビジョンにサービス アカウントを関連付けるために必要な iam.serviceAccounts.actAs
権限が含まれています。カスタムロールを構成するか、他の事前定義ロールを使用して、この権限を取得することもできます。
デプロイ担当者アカウントにサービス ID のこのロールを付与する方法については、デプロイ権限をご覧ください。サービス アカウントが Cloud Run サービスまたはリビジョンとは異なるプロジェクトにある場合は、Cloud Run サービス エージェントの IAM ロールを構成し、組織のポリシーを設定する必要があります。詳細については、他のプロジェクトでサービス アカウントを使用するをご覧ください。
ここをクリックしてサービス ID に必要なロールを表示
サービス ID が Cloud Run から Google Cloud APIs にアクセスできるようにするには、実行するオペレーションで必要な権限またはロールをサービス ID に付与する必要があります。特定の Cloud クライアント ライブラリにアクセスするには、Google Cloud サービスの Google Cloud ドキュメントをご覧ください。
Cloud Run サービスまたはリビジョンが他の Google Cloud サービスにアクセスしない場合、サービス ID にロールや権限を付与する必要はありません。プロジェクトに割り当てられたデフォルトのサービス アカウントを使用できます。
専用のサービス アカウントを作成するための推奨事項を取得する
Google Cloud コンソールから新しいサービス アカウントを作成する際、オプションの「このサービス アカウントにプロジェクトへのアクセス権を付与する」という手順は、追加のアクセスが必要な場合に使用します。たとえば、ある Cloud Run サービスから別の非公開の Cloud Run サービスを呼び出す場合や、Cloud SQL データベースにアクセスする場合は、どちらにも特定の IAM ロールが必要です。詳細については、アクセスの管理に関するドキュメントをご覧ください。
Recommender サービスでも、必要最小限の権限セットで専用のサービス アカウントを作成するための推奨事項を自動的に提供しています。
サービス ID を構成する
サービス アカウントをまだ作成していない場合は、IAM または Cloud Run でユーザー管理のサービス アカウントを作成します。
サービス ID を構成するには、新しいサービスを作成するか新しいリビジョンをデプロイするときに Google Cloud コンソール、gcloud CLI、API(YAML)のいずれかを使用します。あるいは Terraform を使用します。
コンソール
Google Cloud コンソールで、[Cloud Run] に移動します。
[コンテナをデプロイ] をクリックし、[サービス] を選択して、新しいサービスを構成します。既存のサービスを構成する場合は、サービスをクリックし、[新しいリビジョンの編集とデプロイ] をクリックします。
新しいサービスを構成する場合は、最初のサービス設定のページに入力してから、[コンテナ、ボリューム、ネットワーキング、セキュリティ] をクリックしてサービス構成ページを開きます。
[セキュリティ] タブをクリックします。
- [サービス アカウント] プルダウンをクリックして既存のサービス アカウントを選択するか、[サービス アカウントを新規作成] をクリックします。
[作成] または [デプロイ] をクリックします。
gcloud
サービス アカウントをまだ作成していない場合は、IAM でユーザー管理のサービス アカウントを作成します。
次のコマンドを使用して、新しいサービス アカウントを使用するように既存サービスを更新できます。
gcloud run services update SERVICE --service-account SERVICE_ACCOUNT
次のように置き換えます。
- SERVICE: 実際のサービスの名前。
- SERVICE_ACCOUNT は、新しい ID に関連付けられたサービス アカウントに置き換えます。この値は、サービス アカウントのメールアドレス(
example@myproject.iam.gserviceaccount.com
など)です。
また、デプロイ中に次のコマンドを使用してサービス アカウントを設定することもできます。
gcloud run deploy --image IMAGE_URL --service-account SERVICE_ACCOUNT
次のように置き換えます。
- IMAGE_URL: コンテナ イメージへの参照(
us-docker.pkg.dev/cloudrun/container/hello:latest
など)。Artifact Registry を使用する場合は、リポジトリ REPO_NAME がすでに作成されている必要があります。URL の形式はLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
です。 - SERVICE_ACCOUNT: 新しい ID に関連付けられたサービス アカウント。この値は、サービス アカウントのメールアドレス(
example@myservice.iam.gserviceaccount.com
など)です。
YAML
サービス アカウントをまだ作成していない場合は、IAM でユーザー管理のサービス アカウントを作成します。
新しいサービスを作成する場合は、この手順をスキップします。既存のサービスを更新する場合は、その YAML 構成をダウンロードします。
gcloud run services describe SERVICE --format export > service.yaml
serviceAccountName:
属性を更新します。apiVersion: serving.knative.dev/v1 kind: Service metadata: name: SERVICE spec: template: spec: serviceAccountName: SERVICE_ACCOUNT
次のように置き換えます。
- SERVICE は、Cloud Run サービスの名前に置き換えます。
- SERVICE_ACCOUNT は、新しい ID に関連付けられたサービス アカウントに置き換えます。この値は、サービス アカウントのメールアドレス(
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
など)です。
次のコマンドを使用して、サービスを作成または更新します。
gcloud run services replace service.yaml
Terraform
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
サービス アカウントを作成するには、次のリソースを既存の main.tf
ファイルに追加します。
Cloud Run サービスを作成または更新し、サービス アカウントを追加します。
他のプロジェクトでサービス アカウントを使用する
Cloud Run リソースとは異なる Google Cloud プロジェクトからサービス アカウントを構成する場合は、次の操作を行います。
ユーザーまたは管理者が、サービス ID として使用するサービス アカウントに、サービス アカウント ユーザーのロール(
roles/iam.serviceAccountUser
)を付与します。コンソール
Google Cloud コンソールの [サービス アカウント] ページに移動します。
サービス ID として使用しているサービス アカウントのメールアドレスを選択します。
[権限] タブをクリックします。
アクセス権を付与
ボタンをクリックします。管理者またはデベロッパーのロールを付与するプリンシパルに対応するデプロイ担当者のアカウントのメールアドレスを入力します。
[ロールを選択] プルダウンで、[サービス アカウント] > [サービス アカウント ユーザー] ロールを選択します。
[保存] をクリックします。
gcloud
gcloud iam service-accounts add-iam-policy-binding
コマンドを使用し、ハイライト表示された変数を適切な値に置き換えます。gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="PRINCIPAL" \ --role="roles/iam.serviceAccountUser"
次のように置き換えます。
SERVICE_ACCOUNT_NAME
: Cloud Run リソースを接続するサービス アカウントの名前。SERVICE_ACCOUNT_PROJECT_ID
: サービス アカウントが配置されているプロジェクト ID。PRINCIPAL は、バインドを追加するデプロイ担当者のアカウントに置き換えます。形式は
user|group|serviceAccount:email
またはdomain:domain
です。次に例を示します。user:test-user@gmail.com
group:admins@example.com
serviceAccount:test123@example.domain.com
domain:example.domain.com
ユーザーまたは管理者が、サービス ID として使用するサービス アカウントに対するサービス アカウント トークン作成者ロール(
roles/iam.serviceAccountTokenCreator
)を Cloud Run リソースのサービス エージェントに付与します。サービス エージェントはservice-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com
の形式です。コンソール
Google Cloud コンソールの [サービス アカウント] ページに移動します。
サービス ID として使用しているサービス アカウントのメールアドレスを選択します。
[権限] タブをクリックします。
アクセス権を付与
ボタンをクリックします。サービス エージェントのメールアドレスを入力します。例:
service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com
。[ロールを選択] プルダウンで、[サービス アカウント] > [サービス アカウント トークン作成者] ロールを選択します。
[保存] をクリックします。
gcloud
gcloud iam service-accounts add-iam-policy-binding
コマンドを使用します。gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="serviceAccount:service-CLOUD_RUN_RESOURCE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"
次の値を置き換えます。
SERVICE_ACCOUNT_NAME
: Cloud Run リソースを接続するサービス アカウントの名前。SERVICE_ACCOUNT_PROJECT_ID
: サービス アカウントが配置されているプロジェクト ID。CLOUD_RUN_RESOURCE_PROJECT_NUMBER
: Cloud Run が配置されているプロジェクト番号。
このコマンドでは、ユーザー管理のサービス アカウントの更新済みの許可ポリシーが出力されます。
このサービス アカウントを含むプロジェクトで、組織ポリシー
iam.disableCrossProjectServiceAccountUsage
をフォルダレベルで false または unenforced に設定するか、プロジェクト レベルの設定から継承します。デフォルトはtrue
です。コンソール
Google Cloud コンソールの [組織のポリシー] ページに移動します。
プロジェクト選択ツールで、プロジェクト間のサービス アカウントの使用を無効にする組織とプロジェクトを選択します。
プロジェクト間サービス アカウントの使用の無効化ポリシーを選択します。
[ポリシーを管理] をクリックします。
[ポリシーのソース] で、[親のポリシーをオーバーライドする] を選択します。
[ルールの追加] をクリックします。
[適用] で [オフ] を選択します。
ポリシーを適用するには、[ポリシーを設定] をクリックします。
gcloud
サービス アカウントがあるプロジェクトで、
iam.disableCrossProjectServiceAccountUsage
組織のポリシー制約が適用されていないことを確認します。この制約はデフォルトで適用されます。この組織のポリシーの制約を無効にするには、次のコマンドを実行します。
gcloud resource-manager org-policies disable-enforce iam.disableCrossProjectServiceAccountUsage --project=SERVICE_ACCOUNT_PROJECT_ID
SERVICE_ACCOUNT_PROJECT_ID は、サービス アカウントを含むプロジェクト ID に置き換えます。
ロールのメンバーシップは、サービス アカウント リソースに直接適用することも、上位のリソース階層から継承することもできます。
次のステップ
- サービス アカウントの詳細については、IAM サービス アカウントとユーザー管理のサービス アカウントのガイドをご覧ください。
- Cloud Run サービスまたはジョブが Google API または Google Cloud サービスにアクセスする場合は、サービス アカウントをサービス ID として構成する必要があります。詳細