IAM ロールを適用する

このページでは、Google Cloud プロジェクト、インスタンス、データベース、バックアップのアカウントに Spanner Identity and Access Management(IAM)権限を付与する方法について説明します。

Google Cloud の役割については、役割について、Spanner の役割については、アクセス制御: 役割をご覧ください。

プロジェクト レベルの権限

Console の [IAM] ページで、Google Cloud プロジェクト全体に対する IAM 権限を付与できます。プロジェクト レベルで権限を追加すると、プロジェクト内のすべての Spanner インスタンス、データベース、バックアップに関するアカウントに IAM の権限が付与されます。

権限を追加できることを確認する

プロジェクト レベルの権限を適用する前に、別のアカウントに役割を割り当てる権限があることを確認します。プロジェクト レベルで権限が必要です。

  1. プロジェクトの IAM ページに移動します。

    IAM ページに移動

  2. [表示] オプションで [プリンシパル] を選択します。

  3. リストで自分のアカウントを検索します。リストの [役割] 列でアカウントが [オーナー] または [編集者] となっている場合、十分な権限があります。

プロジェクト レベルで十分な権限がない場合は、プロジェクトのオーナーに追加の権限を付与するように依頼してください。

プリンシパルに権限を付与する

  1. プロジェクトの IAM ページに移動します。

    IAM ページに移動

  2. [表示] オプションで [プリンシパル] を選択します。

  3. リストからアカウントを選択して [編集] UI 要素の [編集] のスクリーンショット をクリックします。

  4. [権限の編集] ページで、[別の役割を追加] をクリックします。

  5. プルダウン リストから役割を選択します。

  6. [保存] をクリックします。

プロジェクトにプリンシパルを追加する

  1. プロジェクトの IAM ページに移動します。

    IAM ページに移動

  2. ツールバーの下にある [追加] ボタンをクリックします。

  3. [新しいプリンシパル] ボックスに、追加するアカウントのメールアドレスを入力します。

  4. プルダウン リストから役割を選択します。

  5. [保存] をクリックします。

詳細については、アクセス権の付与、変更、取り消しをご覧ください。

インスタンス レベルの権限

インスタンスレベルの IAM 権限は、Google Cloud コンソールの [IAM] ページでアカウントに付与できます。

権限を追加できることを確認する

インスタンス レベルの権限をインスタンス レベルで適用する前に、別のアカウントに役割を適用する権限があることを確認します。プロジェクト レベルまたはインスタンス レベルで権限が必要です。

  1. プロジェクトの IAM ページに移動します。

    IAM ページに移動

  2. [表示] オプションで [プリンシパル] を選択します。

  3. リストで自分のアカウントを検索します。リストの [ロール] 列でアカウントが [オーナー]、[編集者]、または [Cloud Spanner 管理者] と表示されている場合、十分な権限があります。それ以外の場合は、次のステップに進みます。

  4. [Spanner インスタンス] ページに移動

    インスタンス ページに移動

  5. インスタンスのチェックボックスをオンにします。

  6. 情報パネルの [権限] タブで、プリンシパル リストを展開してアカウントを検索します。リストでアカウントが [オーナー]、[編集者]、または [Spanner 管理者] となっている場合、十分な権限があります。

プロジェクト レベルまたはインスタンス レベルで十分な権限がない場合は、プロジェクトのオーナーに追加の権限を付与するように依頼してください。

インスタンス レベルの権限を追加する

次の手順に従い、Spanner の役割をプロジェクト内のインスタンスに適用します。

  1. [Spanner インスタンス] ページに移動

    インスタンス ページに移動

  2. インスタンスのチェックボックスをオンにします。

  3. [情報パネル] で [権限] タブをクリックします。

  4. 情報パネルの [プリンシパルを追加] ボックスに、追加するアカウントのメールアドレスを入力します。

  5. プルダウン リストで 1 つまたは複数の役割を選択します。

  6. [追加] をクリックします。

データベース レベルの権限

データベース レベルの IAM 権限は、Google Cloud コンソールの [IAM] ページでアカウントに付与できます。

権限を追加できることを確認する

データベース レベルの権限を適用する前に、別のアカウントに役割を割り当てる権限があることを確認します。プロジェクト、インスタンス、またはデータベース レベルの権限が必要です。

  1. プロジェクトの IAM ページに移動します。

    IAM ページに移動

  2. [表示] オプションで [プリンシパル] を選択します。

  3. リストで自分のアカウントを検索します。リストの [ロール] 列でアカウントが [オーナー]、[編集者]、[Cloud Spanner 管理者]、または [Cloud Spanner データベース管理者] となっている場合、十分な権限があります。それ以外の場合は、次のステップに進みます。

  4. [Spanner インスタンス] ページに移動

    インスタンス ページに移動

  5. データベースを含むインスタンスのチェックボックスを選択します。

  6. 情報パネルの [権限] タブで、プリンシパル リストを展開してアカウントを検索します。リストでアカウントが [オーナー]、[編集者]、[Spanner 管理者] または [Spanner データベース管理者] となっている場合、十分な権限があります。それ以外の場合は、次のステップに進みます。

  7. インスタンス名をクリックして [インスタンスの詳細] ページに移動します。

  8. [情報パネルを表示] をクリックします。

  9. ページの [概要] タブで、データベースのチェックボックスをオンにします。

  10. 情報パネルの [権限] タブで、プリンシパル リストを展開してアカウントを検索します。リストでアカウントが [オーナー]、[編集者]、[Spanner 管理者] または [Spanner データベース管理者] となっている場合、十分な権限があります。

プロジェクト、インスタンスまたはデータベース レベルで十分な権限がない場合は、プロジェクトのオーナーに追加の権限を付与するように依頼してください。

データベース レベルの権限を追加する

プリンシパルにデータベース レベルのロールのアクセス権を付与する手順は次のとおりです。

  1. [Spanner インスタンス] ページに移動

    インスタンス ページに移動

  2. データベースが含まれているインスタンスの名前をクリックして、[インスタンスの詳細] ページに移動します。

  3. [概要] タブで、データベースのチェックボックスをオンにします。
    情報パネルが表示されます。

  4. [プリンシパルを追加] をクリックします。

  5. [プリンシパルの追加] パネルの [新しいプリンシパル] に、追加するアカウントのメールアドレスを入力します。

  6. プルダウン リストで 1 つまたは複数の役割を選択します。

  7. [保存] をクリックします。

データベース レベルの権限を削除する

プリンシパルからデータベース レベルのロールを削除する手順は次のとおりです。

  1. [Spanner インスタンス] ページに移動

    インスタンス ページに移動

  2. データベースが含まれているインスタンスの名前をクリックして、[インスタンスの詳細] ページに移動します。

  3. [概要] タブで、データベースのチェックボックスをオンにします。
    情報パネルが表示されます。

  4. 情報パネルの [ロール / プリンシパル] で、削除するデータベース レベルのロールを見つけて展開します。

    このロールを持つプリンシパルのリストが表示されます。

  5. ロールを削除するプリンシパルの横にあるゴミ箱アイコンをクリックします。

  6. 確認ダイアログでチェックボックスをオンにして、[削除] をクリックします。

バックアップ レベルの権限

バックアップレベルの IAM 権限は、Google Cloud コンソールの [IAM] ページでアカウントに付与できます。

権限を追加できることを確認する

バックアップ レベルの権限を適用する前に、別のアカウントにロールを割り当てる権限があることを確認します。プロジェクト レベル、インスタンス レベル、またはバックアップ レベルで権限が必要です。

  1. プロジェクトの IAM ページに移動します。

    IAM ページに移動

  2. [表示] オプションで [プリンシパル] を選択します。

  3. リストで自分のアカウントを検索します。リストの [ロール] 列でアカウントが [オーナー]、[編集者]、[Cloud Spanner 管理者]、[Cloud Spanner バックアップ管理者] となっている場合、十分な権限があります。それ以外の場合は、次のステップに進みます。

  4. [Spanner インスタンス] ページに移動

    インスタンス ページに移動

  5. データベースを含むインスタンスのチェックボックスをオンにします。

  6. 情報パネルの [権限] タブで、プリンシパル リストを展開してアカウントを検索します。リストでアカウントが [オーナー]、[編集者]、[Spanner 管理者] または [Spanner バックアップ管理者] となっている場合、十分な権限があります。それ以外の場合は、次のステップに進みます。

  7. インスタンス名をクリックして [インスタンスの詳細] ページに移動します。

  8. [バックアップ / 復元] タブをクリックし、[バックアップ] テーブルからバックアップを選択します。

  9. [情報パネルを表示] をクリックします。

  10. [情報パネル] でアカウントを検索します。リストの [ロール] 列でアカウントが [オーナー]、[編集者]、[Cloud Spanner 管理者]、[Cloud Spanner バックアップ管理者] となっている場合、十分な権限があります。

プロジェクト レベルまたはインスタンス レベルで十分な権限がない場合は、プロジェクトのオーナーに追加の権限を付与するように依頼してください。

バックアップ レベルの権限を追加する

次の手順に従い、Spanner のロールをプロジェクト内の個別のバックアップに適用します。

  1. [Spanner インスタンス] ページに移動

    インスタンス ページに移動

  2. バックアップが含まれているインスタンスの名前をクリックして、[インスタンスの詳細] ページに移動します。

  3. [バックアップ/復元] タブで、バックアップを選択します。
    [情報パネル] が表示されます。

  4. [情報パネル] で [権限] タブをクリックします。

  5. 情報パネルの [プリンシパルを追加] ボックスに、追加するアカウントのメールアドレスを入力します。

  6. プルダウン リストで 1 つまたは複数の役割を選択します。

  7. [追加] をクリックします。