このページは Cloud Translation API によって翻訳されました。

厳格な act-as モードを使用する

厳格な act-as モードでは、Dataform で次のユーザーアクションに対して追加のセキュリティチェックが有効になります。

リポジトリの作成または更新
ワークフロー構成の作成または更新
ワークフローの呼び出しを作成する
リリース構成の更新

この追加のセキュリティチェックでは、これらのアクションを実行するユーザーに、有効なサービスアカウントに対する iam.serviceAccounts.actAs 権限が必要です。有効なサービスアカウントとは、ワークフローの実行に使用される認証情報を持つサービスアカウントです。サービスアカウントの詳細については、サービスアカウントをリソースに関連付けるをご覧ください。

このモードを有効にする方法は次のとおりです。

リポジトリを作成するとき
strict_act_as_checks リポジトリフラグを使用して既存のリポジトリを更新する場合

必要なロール

このドキュメントのタスクを完了するのに必要な権限を取得するには、カスタムサービスアカウントに対するサービスアカウントユーザー（roles/iam.serviceAccountUser）IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

有効なサービスアカウントを特定する

ワークフローを実行している有効なサービスアカウントは、リソースタイプと次の条件に応じて特定できます。

リソースの種類有効なサービスアカウント

リポジトリ

リソースの種類	有効なサービスアカウント
リポジトリ	リポジトリを作成するときにサービスアカウントを選択した場合は、`Repository.ServiceAccount` サービスアカウントが使用されます。指定しない場合、デフォルトは Dataform サービスアカウントになります。
ワークフロー構成	サービスアカウントは、ワークフロー構成を作成するときに選択できます。指定しない場合、デフォルトはリポジトリの Dataform サービスアカウントになります。
ワークフローの呼び出し	コンパイル結果が `WORKFLOW_CONFIG` の場合、ワークフロー構成の有効なサービスアカウントが使用されます。コンパイル結果からワークフローの呼び出しを作成する場合、`WorkflowInvocation.InvocationConfig` サービスアカウントが設定されている場合は、そのサービスアカウントが使用されます。指定しない場合、デフォルトはリポジトリの Dataform サービスアカウントになります。

リポジトリを作成するときにサービスアカウントを選択した場合は、Repository.ServiceAccount サービスアカウントが使用されます。

指定しない場合、デフォルトは Dataform サービスアカウントになります。

ワークフロー構成

サービスアカウントは、ワークフロー構成を作成するときに選択できます。

指定しない場合、デフォルトはリポジトリの Dataform サービスアカウントになります。

ワークフローの呼び出し

コンパイル結果が WORKFLOW_CONFIG の場合、ワークフロー構成の有効なサービスアカウントが使用されます。

コンパイル結果からワークフローの呼び出しを作成する場合、WorkflowInvocation.InvocationConfig サービスアカウントが設定されている場合は、そのサービスアカウントが使用されます。

指定しない場合、デフォルトはリポジトリの Dataform サービスアカウントになります。

サービスアカウントユーザーの IAM ロールを付与する

サービスアカウントユーザーのロール（roles/iam.serviceAccountUser）には、厳格な act-as モードに必要な iam.serviceAccounts.actAs 権限が含まれています。Dataform API を使用する場合は、呼び出す projects.locations.repositories メソッドに基づいて、有効なサービスアカウントにサービスアカウントユーザーのロールが付与されている必要があります。

createまたはpatch
- Repository.ServiceAccount プロパティが設定されている場合は、そのプロパティにサービスアカウントユーザーロールが付与されている必要があります。
- patch メソッドを呼び出す場合は、リポジトリ内のすべてのワークフロー構成の有効なサービスアカウントに対して、サービスアカウントユーザーロールが付与されている必要があります。
workflowConfigs.createまたはworkflowConfigs.patch
- ワークフローの構成で使用される有効なサービスアカウントに、サービスアカウントユーザーのロールが付与されている必要があります。
releaseConfigs.patch
- このリリース構成を使用してワークフロー構成で使用される有効なサービスアカウントに対して、サービスアカウントユーザーのロールが付与されている必要があります。
workflowInvocations.create
- ワークフローの呼び出しで使用される有効なサービスアカウントに、サービスアカウントユーザーのロールが付与されている必要があります。

詳細については、ワークフロー構成の作成に必要なロールとリリース構成の作成に必要なロールをご覧ください。

リポジトリの自動リリース

act-as モードが有効になっている場合、Dataform リポジトリのリリース構成に対して自動リリースが無効になります。これは、サードパーティリポジトリに接続されているリポジトリには適用されません。

また、act-as モードを有効にすると、Cron スケジュールを使用して自動リリース構成が設定されているかどうかがリポジトリでチェックされます。これは、サードパーティリポジトリに接続されているリポジトリには適用されません。

次のステップ

リポジトリの作成方法の詳細については、リポジトリを作成するをご覧ください。
ワークフロー構成を作成する方法については、実行をスケジュールするをご覧ください。
リリース構成を作成する方法については、コンパイルを構成するをご覧ください。