管理プロジェクトでユーザーロールを割り当てることで、アプリケーション アクセスを構成できます。これを行うには、次の方法を使用します。
- 管理プロジェクト内のすべてのアプリケーションへのアクセス権を付与します。
- 管理プロジェクト内の個々のアプリケーションへのアクセス権を付与します。
すべてのアプリケーションへのアクセスを許可する
管理プロジェクトからすべてのアプリケーションへのアクセス権を付与するには、管理プロジェクトのプリンシパルに IAM ロールを割り当てます。
Google Cloud コンソール
IAM ページに移動します。
Google Cloud コンソールのプロジェクト選択ツールで、管理プロジェクトを選択します。
[ アクセスを許可] をクリックします。
プリンシパルの ID を入力します。例:
user@example.com[ロールを選択] プルダウン メニューから、割り当てるロールを検索してクリックします。
[保存] をクリックします。
プリンシパルと対応するロールが IAM ページに表示されていることを確認します。
プリンシパルに IAM ロールを付与しました。
gcloud CLI
次の gcloud CLI コマンドを実行します。たとえば、Cloud Shell を使用できます。
gcloud projects add-iam-policy-binding MANAGEMENT_PROJECT_ID \
--member=USER_EMAIL \
--role=ROLE
次のように置き換えます。
MANAGEMENT_PROJECT_ID: 管理プロジェクト ID(google-mpf-123456789など)。USER_EMAIL: 管理プロジェクト内のすべてのアプリケーションにアクセスする必要があるユーザーのメールアドレス(user@example.comなど)。ROLE: ユーザーに提供するロール(roles/apphub.editorなど)。
個々のアプリケーションへのアクセス権を付与する
管理プロジェクト内の個々のアプリケーションへのアクセス権を付与するには、アプリケーション リソースのプリンシパルに IAM ロールを割り当てます。次の gcloud CLI コマンドを実行します。たとえば、Cloud Shell を使用できます。
gcloud apphub applications set-iam-policy APPLICATION_NAME \
--project=MANAGEMENT_PROJECT_ID \
--location=REGION \
POLICY_FILE
次のように置き換えます。
APPLICATION_NAME: アプリケーションの名前。 名前には、スペースなしの小文字の英数字のみを使用します(例:my-application)。MANAGEMENT_PROJECT_ID: 管理プロジェクト ID(google-mpf-123456789など)。REGION: アプリケーションのリージョン。POLICY_FILE: ユーザーにロールを付与するポリシー ファイルの名前(my-policy.yamlなど)。
次のポリシー ファイルの例では、ユーザー user@example.com に roles/apphub.editor ロールを付与します。
# policyfile.yaml
bindings:
- role: roles/apphub.editor
members:
- user:user@example.com