このページでは、Cloud Run ワーカープールから Google Cloud API へのアクセスを制御するサービス ID を構成して表示する方法について説明します。
Cloud Run ワーカープールには、Cloud Run インスタンス コンテナから Google Cloud API にアクセスするための認証済みアカウントとして使用されるサービス ID があります。サービス ID の詳細については、サービス ID の概要をご覧ください。
サービス ID の使用方法
Cloud Run では、サービス ID はリソースとプリンシパルの両方の機能を持つサービス アカウントです。
- リソースとしてのサービス ID: サービス ID としてサービス アカウントを関連付けるには、デプロイ担当者アカウントにサービス ID リソースへのアクセス権が必要です。ワーカープールの作成や更新などの一部のオペレーションでは、デプロイ担当者アカウントにサービス ID リソースに対する権限が必要です。
- プリンシパルとしてのサービス ID: Cloud Run ワーカープールから Google Cloud API にアクセスするには、サービス ID に対し、ワーカープールで実行するオペレーションに必要なロールまたは権限を付与する必要があります。
次のセクションでは、デプロイ担当者アカウントにサービス ID リソースへのアクセス権を付与するために必要なロールと、サービス アカウント プリンシパルに必要なロールまたは権限について説明します。
必要なロール
ユーザーまたは管理者が、デプロイ担当者アカウントとサービス ID に IAM ロールと権限を付与する必要があります。
ここをクリックしてデプロイ担当者アカウントに必要なロールを表示
ワーカープールにサービス ID としてサービス アカウントを関連付けるために必要な権限を取得するには、ユーザーまたは管理者が、サービス ID として使用されるサービス アカウントに対するサービス アカウント ユーザーのロール(roles/iam.serviceAccountUser)をデプロイ担当者アカウントに付与する必要があります。
この事前定義ロールには、ワーカープールにサービス アカウントを関連付けるために必要な iam.serviceAccounts.actAs 権限が含まれています。この権限を取得するには、カスタムロールを構成するか、他の事前定義ロールを使用することもできます。
デプロイ担当者アカウントにサービス ID のこのロールを付与する方法については、デプロイ権限をご覧ください。サービス アカウントが Cloud Run ワーカープールとは異なるプロジェクトにある場合は、ユーザーまたは管理者が Cloud Run サービス エージェントの IAM ロールを構成し、組織のポリシーを設定する必要があります。詳細については、他のプロジェクトでサービス アカウントを使用するをご覧ください。
ここをクリックしてサービス ID に必要なロールを表示
サービス ID が Cloud Run から Google Cloud APIs にアクセスできるようにするには、実行するオペレーションで必要な権限またはロールをサービス ID に付与する必要があります。特定の Cloud クライアント ライブラリにアクセスするには、 Google Cloud サービスの Google Cloud ドキュメントをご覧ください。
Cloud Run ワーカープールが他の Google Cloud サービスにアクセスしない場合は、サービス ID に対してロールや権限を付与する必要はありません。プロジェクトに割り当てられたデフォルトのサービス アカウントを使用できます。
専用のサービス アカウントを作成するための推奨事項を受け取る
Google Cloud コンソールから新しいサービス アカウントを作成する際、オプションの「このサービス アカウントにプロジェクトへのアクセス権を付与する」という手順は、追加のアクセスが必要な場合に使用します。たとえば、ある Cloud Run サービスから別のプライベート Cloud Run サービスを呼び出す場合や、Cloud SQL データベースにアクセスする場合は、どちらにも特定の IAM ロールが必要です。詳細については、アクセスの管理に関するドキュメントをご覧ください。
Recommender サービスでも、必要最小限の権限セットで専用のサービス アカウントを作成するための推奨事項を自動的に提供しています。
サービス ID を構成する
サービス アカウントをまだ作成していない場合は、IAM または Cloud Run でユーザー管理のサービス アカウントを作成します。
サービス ID を構成するには、Google Cloud コンソールまたは gcloud CLI を使用します。
コンソール
Google Cloud コンソールで Cloud Run に移動します。
メニューから [ワーカープール] を選択し、[コンテナをデプロイ] をクリックして新しいワーカープールを構成します。既存のワーカープールを構成する場合は、ワーカープールをクリックし、[新しいリビジョンの編集とデプロイ] をクリックします。
新しいワーカープールを構成する場合は、最初のワーカープール ページに入力してから、[コンテナ、ボリューム、ネットワーキング、セキュリティ] をクリックしてワーカープール構成ページを開きます。
[セキュリティ] タブをクリックします。
- [サービス アカウントを新規作成] をクリックするか、[サービス アカウント] プルダウンをクリックして既存のサービス アカウント(該当する場合)を選択します。
[作成] または [デプロイ] をクリックします。
gcloud
サービス アカウントをまだ作成していない場合は、IAM でユーザー管理のサービス アカウントを作成します。
次のコマンドを使用して、サービス アカウントを構成するように既存のワーカープールを更新できます。
gcloud beta run worker-pools update WORKER_POOL --service-account SERVICE_ACCOUNT
次のように置き換えます。
- WORKER_POOL: サービスの名前。
- SERVICE_ACCOUNT: 新しい ID に関連付けられているサービス アカウントに関連付けるサービス アカウント。この値は、サービス アカウントのメールアドレス(
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com形式)です。この形式の SERVICE_ACCOUNT_NAME はサービス アカウントの名前、PROJECT_ID はプロジェクト ID です。また、デプロイ中に次のコマンドを使用してサービス アカウントを設定することもできます。
gcloud beta run worker-pools deploy WORKER_POOL --image IMAGE_URL --service-account SERVICE_ACCOUNT
次のように置き換えます。
- WORKER_POOL: ワーカープールの名前。
- IMAGE_URL: ワーカープールを含むコンテナ イメージへの参照(
us-docker.pkg.dev/cloudrun/container/worker-pool:latestなど)。 - SERVICE_ACCOUNT: 新しい ID に関連付けられたサービス アカウント。この値は、サービス アカウントのメールアドレス(
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com形式)です。
Terraform
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
resource "google_cloud_run_v2_worker_pool" "default" {
name = "WORKER_POOL"
location = "REGION"
launch_stage = "BETA"
template {
containers {
image = "IMAGE_URL"
}
}
service_account = "SERVICE_ACCOUNT"
}
次のように置き換えます。
- WORKER_POOL: ワーカープールの名前。
- REGION: Google Cloud リージョン(例:
europe-west1)。 - IMAGE_URL: ワーカープールを含むコンテナ イメージへの参照(
us-docker.pkg.dev/cloudrun/container/worker-pool:latestなど)。 - SERVICE_ACCOUNT: 新しい ID に関連付けられているサービス アカウントに関連付けるサービス アカウント。この値は、サービス アカウントのメールアドレス(
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com形式)です。この形式の SERVICE_ACCOUNT_NAME はサービス アカウントの名前、PROJECT_ID はプロジェクト ID です。
他のプロジェクトでサービス アカウントを使用する
Cloud Run リソースとは異なる Google Cloud プロジェクトからサービス アカウントを構成する場合は、次の操作を行います。
ユーザーまたは管理者が、サービス ID として使用するサービス アカウントに、サービス アカウント ユーザーのロール(
roles/iam.serviceAccountUser)を付与します。コンソール
Google Cloud コンソールの [サービス アカウント] ページに移動します。
サービス ID として使用しているサービス アカウントのメールアドレスを選択します。
[権限] タブをクリックします。
アクセス権を付与 ボタンをクリックします。
管理者またはデベロッパーのロールを付与するプリンシパルに対応するデプロイ担当者のアカウントのメールアドレスを入力します。
[ロールを選択] プルダウンで、[サービス アカウント] > [サービス アカウント ユーザー] ロールを選択します。
[保存] をクリックします。
gcloud
gcloud iam service-accounts add-iam-policy-bindingコマンドを使用し、ハイライト表示された変数を適切な値に置き換えます。gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="PRINCIPAL" \ --role="roles/iam.serviceAccountUser"
次のように置き換えます。
SERVICE_ACCOUNT_NAME: Cloud Run リソースを接続するサービス アカウントの名前SERVICE_ACCOUNT_PROJECT_ID: サービス アカウントが配置されているプロジェクト IDPRINCIPAL: バインドを追加するデプロイ担当者のアカウント。形式は
user|group|serviceAccount:emailまたはdomain:domainです。たとえば、以下のように指定します。user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
ユーザーまたは管理者が、サービス ID として使用するサービス アカウントに対するサービス アカウント トークン作成者ロール(
roles/iam.serviceAccountTokenCreator)を Cloud Run リソースのサービス エージェントに付与します。サービス エージェントはservice-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.comの形式です。コンソール
Google Cloud コンソールの [サービス アカウント] ページに移動します。
サービス ID として使用しているサービス アカウントのメールアドレスを選択します。
[権限] タブをクリックします。
アクセス権を付与 ボタンをクリックします。
サービス エージェントのメールアドレスを入力します。例:
service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com。[ロールを選択] プルダウンで、[サービス アカウント] > [サービス アカウント トークン作成者] ロールを選択します。
[保存] をクリックします。
gcloud
gcloud iam service-accounts add-iam-policy-bindingコマンドを使用します。gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \ --member="serviceAccount:service-CLOUD_RUN_RESOURCE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"
次のように置き換えます。
SERVICE_ACCOUNT_NAME: Cloud Run リソースを接続するサービス アカウントの名前SERVICE_ACCOUNT_PROJECT_ID: サービス アカウントが配置されているプロジェクト IDCLOUD_RUN_RESOURCE_PROJECT_NUMBER: Cloud Run が配置されているプロジェクト番号
このコマンドでは、ユーザー管理のサービス アカウントの更新済みの許可ポリシーが出力されます。
このサービス アカウントを含むプロジェクトで、組織ポリシー
iam.disableCrossProjectServiceAccountUsageをフォルダレベルで false または unenforced に設定するか、プロジェクト レベルの設定から継承します。デフォルトはtrueです。コンソール
Google Cloud コンソールの [組織のポリシー] ページに移動します。
プロジェクト選択ツールで、プロジェクト間のサービス アカウントの使用を無効にする組織とプロジェクトを選択します。
プロジェクト間サービス アカウントの使用の無効化ポリシーを選択します。
[ポリシーを管理] をクリックします。
[ポリシーのソース] で、[親のポリシーをオーバーライドする] を選択します。
[ルールを追加] をクリックします。
[適用] で [オフ] を選択します。
ポリシーを適用するには、[ポリシーを設定] をクリックします。
gcloud
サービス アカウントがあるプロジェクトで、
iam.disableCrossProjectServiceAccountUsage組織のポリシー制約が適用されていないことを確認します。この制約はデフォルトで適用されます。この組織のポリシーの制約を無効にするには、次のコマンドを実行します。
gcloud resource-manager org-policies disable-enforce iam.disableCrossProjectServiceAccountUsage --project=SERVICE_ACCOUNT_PROJECT_ID
SERVICE_ACCOUNT_PROJECT_ID は、サービス アカウントを含むプロジェクト ID に置き換えます。
ロールのメンバーシップは、サービス アカウント リソースに直接適用することも、上位のリソース階層から継承することもできます。
ワーカープールのサービス アカウント構成を確認する
Google Cloud コンソールで Cloud Run に移動します。
[ワーカープール] をクリックして、デプロイされたワーカープールのリストを確認します。
調べるワーカープールをクリックして、詳細ウィンドウを表示します。
[セキュリティ] タブをクリックして、サービス アカウントなどのワーカープールのセキュリティ情報を表示します。
次のステップ
- サービス アカウントの詳細については、IAM サービス アカウントとユーザー管理のサービス アカウントのガイドをご覧ください。
- Cloud Run サービス、ジョブ、またはワーカープールが Google API またはGoogle Cloud サービスにアクセスする場合は、サービス アカウントをサービス ID として構成する必要があります。詳細