このページは Cloud Translation API によって翻訳されました。

SSH 公開鍵を使用して認証する

ユーザーとサービスアカウントは、SSH 公開鍵を使用して Secure Source Manager リポジトリに対して認証できます。このページでは、SSH 認証鍵ペアを生成し、Secure Source Manager ウェブインターフェースで認証方法として追加する方法について説明します。

Secure Source Manager は、RSA、ECDSA、Ed25519 の SSH 認証鍵タイプをサポートしています。

必要なロール

SSH 公開鍵を使用して認証するために必要な権限を取得するには、管理者に次の IAM ロールを付与するよう依頼してください。

ユーザーの SSH 認証鍵を追加するには: Secure Source Manager インスタンスに対する Secure Source Manager インスタンスアクセサー（roles/securesourcemanager.instanceAccessor）
サービスアカウントの SSH 認証鍵を追加するには:
- Secure Source Manager インスタンスに対する Secure Source Manager インスタンスマネージャー（roles/securesourcemanager.instanceManager）
- サービスアカウントに対するサービスアカウントユーザー（roles/iam.serviceAccountUser）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールには、SSH 公開鍵を使用して認証するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

SSH 公開鍵を使用して認証するには、次の権限が必要です。

Secure Source Manager インスタンスに対する securesourcemanager.sshkeys.createAny
サービスアカウントに SSH キーを割り当てるには: サービスアカウントに対する iam.serviceAccounts.actAs

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

Secure Source Manager のロールの付与については、IAM によるアクセス制御とユーザーにインスタンスへのアクセス権を付与するをご覧ください。

鍵ペアを生成する

SSH 鍵ペアは、ローカルシステムにある秘密鍵と Google Cloudに登録した公開鍵で構成されます。

Linux または macOS

ローカルシステムに OpenSSH をインストールします。
コマンドプロンプトで、次のコマンドを入力します。
```
ssh-keygen -t [KEY_TYPE] -C "[USER_EMAIL]"
```
ここで
- [USER_EMAIL] はあなたのメールアドレスです。
- [KEY_TYPE] は、rsa、ecdsa または ed25519 のいずれかです。
次に例を示します。
```
ssh-keygen -t rsa -C "user@example.com"
```
1. プロンプトが表示されたら、公開鍵ファイルの場所とファイル名を入力します。デフォルトの場所とファイル名をそのまま使用する場合は、Enter キーを押します。
2. プロンプトが表示されたら、パスフレーズを空白のままにして Enter キーを押します。

Windows

ローカルシステムに PuTTY をインストールします。
Windows の [スタート] メニューから、PuTTYGen を起動します。
表示されたウィンドウで [パラメータ] フィールドから鍵タイプを選択します。
[生成] をクリックします。

PuTTYGen で生成された公開鍵文字列が表示されます。
プロンプトが表示されたら、パスフレーズを空白のままにして Enter キーを押します。
生成した鍵ペアをローカルシステムに保存するには、[公開鍵の保存] と [秘密鍵の保存] をクリックします。

ユーザーの SSH 認証鍵を追加する

Secure Source Manager ウェブインターフェースで、インスタンスまたはリポジトリのページから、 [その他のオプション] メニューをクリックします。
[ユーザーの SSH 認証鍵] をクリックします。

[ユーザー SSH 認証鍵] ページが開き、作成した既存の認証鍵のリストが表示されます。
[ユーザー SSH 認証鍵] ページで、[認証鍵を追加] をクリックします。
[SSH 認証鍵を追加] ページで、鍵に次の値を入力します。
1. タイトル: キーの説明的なタイトルを追加します。
2. SSH 公開鍵: 公開鍵文字列を貼り付けます。公開鍵文字列を取得するには、次のコマンドを実行します。
```
cat ~/.ssh/FILENAME.pub
```
ここで、FILENAME はキーファイルに付けた名前です。

SSH 認証鍵を使用して、必要な権限がリポジトリに付与されている Secure Source Manager リポジトリを認証できます。

サービスアカウントの SSH 認証鍵を追加する

リポジトリへのプログラムによるアクセスを許可するには、サービスアカウントの SSH 認証鍵を追加します。

使用するサービスアカウントがまだない場合は、サービスアカウントを作成します。
Secure Source Manager ウェブインターフェースで、 [その他のオプション] メニューをクリックします。
[サービスアカウントの SSH 認証鍵] をクリックします。[サービスアカウントの SSH 認証鍵] ページが開き、追加した既存の認証鍵のリストが表示されます。
[サービスアカウントの SSH 認証鍵] ページで、[鍵を追加] をクリックします。
[サービスアカウントの SSH 鍵を追加] ページで、鍵に次の値を入力します。
1. タイトル: キーの説明的なタイトル
2. サービスアカウント: SSH 鍵を使用するサービスアカウントのサービスアカウントメール（SA_NAME@PROJECT_ID.iam.gserviceaccount.com 形式）
  
  場所
  - SA_NAME はサービスアカウント名です。
  - PROJECT_ID は、サービスアカウントが作成されたプロジェクトのプロジェクト ID です。
3. SSH Public Key: 公開 SSH 認証鍵。SSH 認証鍵ペアの生成方法については、鍵ペアを生成するをご覧ください。
サービスアカウントが Secure Source Manager インスタンスと同じプロジェクトにない場合は、使用するサービスアカウントに対する次のロールまたは権限のいずれかを Secure Source Manager のサービスエージェントに付与します。
- iam.serviceAccounts.signJwt 権限
- サービスアカウントトークン作成者（roles/iam.serviceAccountTokenCreator）ロール
次のコマンドを実行して、Secure Source Manager サービスアカウントに IAM ポリシーを追加し、サービスアカウントトークン作成者のロールを付与します。
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT \
    --member="serviceAccount:service-INSTANCE_PROJECT_NUMBER@gcp-sa-sourcemanager.iam.gserviceaccount.com" \
    --role="roles/iam.serviceAccountTokenCreator"
```
ここで、SERVICE_ACCOUNT は使用するサービスアカウントで、INSTANCE_PROJECT_NUMBER は Secure Source Manager インスタンスのプロジェクト番号です。

SERVICE_ACCOUNT は、数値形式のサービスアカウント ID またはメールアドレス（123456789876543212345 や my-iam-account@somedomain.com など）のいずれかの形式にする必要があります。