このドキュメントでは、Cloud Trace に対する認証をプログラムで行う方法について説明します。Cloud Trace に対する認証方法は、API へのアクセスに使用するインターフェースと、コードが実行されている環境によって異なります。
Google Cloud の認証の詳細については、認証の概要をご覧ください。
API アクセス
Trace はプログラムによるアクセスをサポートしています。次の方法で API にアクセスできます。
クライアント ライブラリ
Trace クライアント ライブラリは、Trace に対する認証をプログラムで行うための高水準言語をサポートします。Google Cloud APIs の呼び出しを認証するために、クライアント ライブラリではアプリケーションのデフォルト認証情報(ADC)がサポートされています。このライブラリは、一連の定義済みのロケーションの中から認証情報を探し、その認証情報を使用して API へのリクエストを認証します。ADC を使用すると、アプリケーション コードを変更することなく、ローカルでの開発や本番環境など、さまざまな環境のアプリケーションで認証情報を使用できるようになります。
REST
Trace API に対する認証には、gcloud CLI 認証情報を使用するか、アプリケーションのデフォルト認証情報を使用します。REST リクエストの認証の詳細については、REST を使用して認証するをご覧ください。認証情報の種類については、gcloud CLI の認証情報と ADC の認証情報をご覧ください。
Trace のユーザー認証情報と ADC
認証情報を ADC に渡す 1 つの方法は、gcloud CLI を使用してユーザー認証情報を認証情報ファイルに挿入することです。このファイルは、ADC が検出できるローカル ファイル システムに配置されます。次に、ADC は指定されたユーザー認証情報を使用してリクエストを認証します。多くの場合、この方法はローカルでの開発で使用されます。
この方法では、Trace の認証時に認証エラーが発生することがあります。このエラーと対処方法の詳細については、ユーザーの認証情報が機能しないをご覧ください。
Trace の認証を設定する
認証の設定方法は、コードが実行されている環境によって異なります。
認証の設定には、次のオプションが最も一般的に使用されます。認証のその他のオプションと詳細については、認証方法をご覧ください。
Cloud Trace の計測で説明されているように、これらの手順を完了する前に、Trace の基本設定を完了する必要があります。
ローカル開発環境の場合
ローカル開発環境の認証情報は、次の方法で設定できます。
クライアント ライブラリまたはサードパーティ ツール
ローカル環境でアプリケーションのデフォルト認証情報(ADC)を設定します。
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
ログイン画面が表示されます。ログインすると、ADC で使用されるローカル認証情報ファイルに認証情報が保存されます。
ローカル環境での ADC 操作の詳細については、ローカル開発環境の ADC を設定するをご覧ください。
コマンドラインからの REST リクエスト
コマンドラインから REST リクエストを行う場合は、リクエストを送信するコマンドの一部として gcloud auth print-access-token
を含めることで、gcloud CLI 認証情報を使用できます。
次の例では、指定したプロジェクトのサービス アカウントを一覧表示します。どの REST リクエストに対しても、同じパターンを使用できます。
リクエストのデータを使用する前に、次のように置き換えます。
- PROJECT_ID: Google Cloud プロジェクト ID。
リクエストを送信するには、次のいずれかのオプションを開きます。
REST と gRPC を使用した認証の詳細については、REST の使用に対する認証をご覧ください。ローカル ADC 認証情報と gcloud CLI 認証情報の違いについては、gcloud CLI 認証構成と ADC 構成をご覧ください。
サービス アカウントの権限借用
ほとんどの場合、ユーザー認証情報を使用してローカル開発環境から認証できます。これが不可能な場合、またはサービス アカウントに割り当てられた権限をテストする必要がある場合は、サービス アカウントの権限借用を使用できます。iam.serviceAccounts.getAccessToken
権限が必要です。この権限は、サービス アカウント トークン作成者(roles/iam.serviceAccountTokenCreator
)IAM ロールに含まれています。
サービス アカウントの権限借用を使用するように gcloud CLI を設定するには、gcloud config set
コマンドを使用します。
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
一部の言語では、サービス アカウントの権限借用を使用して、クライアント ライブラリで使用するローカル ADC ファイルを作成できます。このアプローチは、Go、Java、Node.js、Python のクライアント ライブラリでのみサポートされています。他の言語ではサポートされていません。サービス アカウントの権限借用を使用してローカル ADC ファイルを設定するには、gcloud auth application-default login
コマンドで --impersonate-service-account
フラグを使用します。
gcloud auth application-default login --impersonate-service-account=SERVICE_ACCT_EMAIL
サービス アカウントの権限借用の詳細については、サービス アカウントの権限借用を使用するをご覧ください。
Google Cloud
Google Cloud で実行されているワークロードを認証するには、Compute Engine 仮想マシン(VM)インスタンスなど、コードが実行されているコンピューティング リソースにアタッチされているサービス アカウントの認証情報を使用します。 このアプローチは、Google Cloud コンピューティング リソースで実行されているコードの推奨認証方法です。
ほとんどのサービスでは、コードを実行するリソースの作成時にサービス アカウントを関連付ける必要があります。サービス アカウントを後から追加または置換することはできません。Compute Engine は例外で、サービス アカウントをいつでも VM インスタンスに関連付けることができます。
gcloud CLI を使用してサービス アカウントを作成し、リソースに接続します。
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
-
Set up authentication:
-
Create the service account:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
Replace
SERVICE_ACCOUNT_NAME
with a name for the service account. -
To provide access to your project and your resources, grant a role to the service account:
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
Replace the following:
SERVICE_ACCOUNT_NAME
: the name of the service accountPROJECT_ID
: the project ID where you created the service accountROLE
: the role to grant
- To grant another role to the service account, run the command as you did in the previous step.
-
Grant the required role to the principal that will attach the service account to other resources.
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
Replace the following:
SERVICE_ACCOUNT_NAME
: the name of the service accountPROJECT_ID
: the project ID where you created the service accountUSER_EMAIL
: the email address for a Google Account
-
-
コードを実行するリソースを作成し、そのリソースにサービス アカウントを関連付けます。たとえば、Compute Engine を使用する場合は次のようになります。
Create a Compute Engine instance. Configure the instance as follows:-
INSTANCE_NAME
を必要なインスタンス名に置き換えます。 -
インスタンスを作成するゾーンに
--zone
フラグを設定します。 -
--service-account
フラグに、作成したサービス アカウントのメールアドレスを設定します。
gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL
-
Google API に対する認証について詳しくは、認証方法をご覧ください。
オンプレミスまたは別のクラウド プロバイダ
Google Cloud の外部から認証を設定する際の推奨方法は、Workload Identity 連携の使用です。詳細については、認証ドキュメントのオンプレミスまたは他のクラウド プロバイダの ADC を設定するをご覧ください。
Trace のアクセス制御
Trace に対する認証を受けた後に Google Cloud リソースにアクセスするには、認可を受ける必要があります。Trace は、Identity and Access Management(IAM)を使用して認可を行います。
Trace のロールの詳細については、IAM によるアクセスの制御をご覧ください。IAM と認可の詳細については、IAM の概要をご覧ください。
次のステップ
- Google Cloud の認証方法を確認する。
- 認証のユースケースを確認する。