GCPを始める ~Cloud Identity and Access Management~
GCP のアクセス権を操作してみる。
Google Cloud Identity and Access Management(Cloud IAM)で、Google Cloud Platform のリソースに対する権限を作成して、管理できます。
プロジェクト メンバーを追加して IAM の役割を付与する
- GCP Console で [IAM] ページを開きます。
- [プロジェクトを選択] をクリックします。
- プロジェクトを選択して [開く] をクリックします。
- [追加] をクリックします。
- まだ IAM の役割を付与していない新しいメンバーのメールアドレスを入力します。
- 使用する GCP サービスに応じて、プルダウン メニューから次のいずれかの役割を選択します。
- Stackdriver Logging ユーザーの場合は、[ロギング]、[ログ閲覧者] を選択します。
- [保存] をクリックします。
- メンバーとその役割が Cloud IAM ページに一覧表示されていることを確認します。
これで、Cloud IAM の役割がプロジェクトメンバーに付与されました。 ※この操作では権限を付与しただけのため、まだアクセスすることはできない。次の操作もあわせて行う必要がある。
IAM の役割の効果を確認する
- 上記で役割を付与したメンバーに、アクセス URL を送信します。
- ログ閲覧者の役割を付与した場合は、次を送信します。 https://console.developers.google.com/logs?project=[your project ID]
- そのメンバーがその URL を表示できることを確認します。
メンバーは、自分にアクセス権が付与されていない GCP Console ページにはアクセスできず、エラー メッセージが表示されます。
補足( Google アカウント以外でメンバー登録する)
Google アカウントに登録していないメールアドレスでは、このようにエラーとなってしまう。
これは下記URLを参照すると、"IDに関するコンセプト"にあるタイプのメンバーしか登録できないと読み取れる。 https://cloud.google.com/iam/docs/overview?hl=ja
補足(複数ユーザーに同一権限を付与したい)
Google グループに対して権限を付与することで、一度に複数のユーザーへ権限を付与することができる。
実行結果↓
終わりに
複数の人に同一の権限を与えたいときは、Google グループを使うしかないようだ、不便。