さまざまなコントローラおよびサービスエンジンの展開のためのロールと権限

このセクションでは、さまざまな展開例を使用して、ロールと権限を作成する方法について説明します。

ロールとは、メンバーに割り当てることができる権限のグループです。Google Cloud Platform (GCP) コンソールからロールを作成し、ロールに権限を割り当てられます。

このトピックで使用される GCP 固有の用語のリストを次に示します。


フィールド	値
Virtual Private Cloud	GCP Virtual Private Cloud (VPC) は、GCP リソースにネットワーク機能を提供します。
プロジェクト	プロジェクトは、すべての GCP リソースを編成します。プロジェクトは、一連のユーザー、一連の API、およびこれらの API の課金、認証、およびモニターの設定で構成されます。
共有 VPC (XPN)	共有 VPC を使用すると、組織は複数のプロジェクトのリソースを共通の VPC ネットワークに接続できます。共有 VPC を使用する場合、1 つのプロジェクトがホストプロジェクトとして指定され、1 つ以上の他のサービスプロジェクトをホストプロジェクトに接続できます。共有 VPC は、XPN とも呼ばれます。
サービスアカウント	サービスアカウントは、個々のエンドユーザーではなく、アプリケーションまたは仮想マシン (VM) に属する特別な Google アカウントです。アプリケーションは、ユーザーが直接関与しないように、サービスアカウントを使用してサービスの Google API を呼び出します。

GCP のロールと権限

ID が Google Cloud Platform API を呼び出す場合、クラウド ID とアクセス管理 (IAM) は、ID にリソースを使用するための適切な権限があることを確認する必要があります。権限を付与するには、ユーザー、グループ、またはサービスアカウントにロールを付与します。

クラウド IAM のロールには、次のタイプがあります。

プリミティブロール：: これには、クラウド IAM の導入前に存在していた所有者、編集者、閲覧者のロールが含まれます。
事前定義ロール：: これにより、特定のサービスにきめ細かいアクセスが提供され、GCP によって管理されます。
カスタムロール：: これにより、ユーザーが指定した権限のリストに従ってきめ細かいアクセスが提供されます。詳細については、cloud.google.com を参照してください。

この場合、ロールのすべてのインスタンスはカスタムロールを参照します。

カスタムロールの作成の詳細については、「カスタムロールの作成と管理」を参照してください。

以下は、クロスプロジェクト展開のシナリオです。

この展開シナリオでは、共有 VPC (XPN)、コントローラ、およびサービスエンジンがプロジェクト A にあります。

展開シナリオの詳細については、以下の「仮想マシンのロールと権限」セクションを参照してください。

The Controller

デフォルトのコンピューティングエンジンサービスアカウント（プロジェクトでコンピューティングエンジンサービスアカウントが有効になっている）を使用する場合は、サービスアカウントとして選択し、次の図に示すようにコンピューティングエンジン API の Read Write 権限を提供します。

Service Engine

デフォルトのコンピューティングエンジンサービスアカウント（プロジェクトでコンピューティングエンジンサービスアカウントが有効になっている）を使用する場合は、サービスアカウントとして選択し、次の図に示すようにコンピューティングエンジン API の Read Only 権限を提供します。

IP アドレス管理を構成するには、次の入力を使用します。

GCP IP アドレス管理の構成の詳細については、「 GCP の IP アドレス管理の構成」を参照してください。

この展開例では、共有 VPC はプロジェクト A に、コントローラはプロジェクト B に、サービスエンジンはプロジェクト B にあります。

IP アドレス管理を構成するには、次の入力を使用します。

GCP IP アドレス管理の構成の詳細については、「 GCP の IP アドレス管理の構成」を参照してください。