IAM ロールを適用する

このページでは、 Google Cloud プロジェクト、インスタンス、データベース、バックアップのアカウントに Spanner Identity and Access Management(IAM)権限を付与する方法について説明します。

Google Cloud ロールの詳細についてはロールについての説明を、Spanner ロールの詳細についてはアクセス制御: ロールをご覧ください。

プロジェクト レベルの権限

Google Cloud プロジェクト全体に対する IAM 権限は、 Google Cloud コンソールの [IAM] ページでアカウントに付与できます。プロジェクト レベルで権限を追加すると、プロジェクト内のすべての Spanner インスタンス、データベース、バックアップに対する IAM 権限がアカウントに付与されます。

権限を追加できることを確認する

プロジェクト レベルの権限を適用する前に、別のアカウントに役割を割り当てる権限があることを確認します。プロジェクト レベルで権限が必要です。

  1. プロジェクトの IAM ページに移動します。

    IAM ページに移動

  2. [表示] オプションで [プリンシパル] を選択します。

  3. リストで自分のアカウントを探します。リストの [ロール] 列でアカウントが [オーナー] または [編集者] となっている場合、十分な権限があります。

プロジェクト レベルで十分な権限がない場合は、そのプロジェクトのオーナーに権限の追加を依頼してください。

プリンシパルに権限を付与する

  1. プロジェクトの IAM ページに移動します。

    IAM ページに移動

  2. [表示] オプションで [プリンシパル] を選択します。

  3. リストからアカウントを選択して [編集] UI 要素の [編集] のスクリーンショット をクリックします。

  4. [権限の編集] ページで、[別の役割を追加] をクリックします。

  5. プルダウン リストからロールを選択します。

  6. [保存] をクリックします。

プロジェクトにプリンシパルを追加する

  1. プロジェクトの IAM ページに移動します。

    IAM ページに移動

  2. ツールバーの下にある [追加] ボタンをクリックします。

  3. [新しいプリンシパル] ボックスに、追加するアカウントのメールアドレスを入力します。

  4. プルダウン リストからロールを選択します。

  5. [保存] をクリックします。

詳細については、アクセス権の付与、変更、取り消しをご覧ください。

インスタンス レベルの権限

インスタンス レベルの IAM 権限は、 Google Cloud コンソールの [IAM] ページでアカウントに付与できます。

権限を追加できることを確認する

インスタンス レベルの権限をインスタンス レベルで適用する前に、別のアカウントに役割を適用する権限があることを確認します。プロジェクト レベルまたはインスタンス レベルで権限が必要です。

  1. プロジェクトの IAM ページに移動します。

    IAM ページに移動

  2. [表示] オプションで [プリンシパル] を選択します。

  3. リストで自分のアカウントを探します。リストの [ロール] 列でアカウントが [オーナー]、[編集者]、または [Cloud Spanner 管理者] と表示されている場合、十分な権限があります。それ以外の場合は、次のステップに進みます。

  4. [Spanner インスタンス] ページに移動します。

    インスタンス ページに移動

  5. インスタンスのチェックボックスをオンにします。

  6. 情報パネルの [権限] タブで、プリンシパル リストを開いてアカウントを見つけます。リストでアカウントが [オーナー]、[編集者]、または [Spanner 管理者] となっている場合、十分な権限があります。

プロジェクト レベルまたはインスタンス レベルで十分な権限がない場合は、そのプロジェクトのオーナーに権限の追加を依頼してください。

インスタンス レベルの権限を追加する

次の手順に沿って、Spanner のロールをプロジェクト内のインスタンスに適用します。

  1. [Spanner インスタンス] ページに移動します。

    インスタンス ページに移動

  2. インスタンスのチェックボックスをオンにします。

  3. [情報パネル] で [権限] タブをクリックします。

  4. 情報パネルの [プリンシパルの追加] ボックスに、追加するアカウントのメールアドレスを入力します。

  5. プルダウン リストでロールを選択します(複数可)。

  6. [追加] をクリックします。

データベース レベルの権限

データベース レベルの IAM 権限は、 Google Cloud コンソールの [IAM] ページでアカウントに付与できます。

権限を追加できることを確認する

データベース レベルの権限を適用する前に、別のアカウントに役割を割り当てる権限があることを確認します。プロジェクト、インスタンス、またはデータベース レベルの権限が必要です。

  1. プロジェクトの IAM ページに移動します。

    IAM ページに移動

  2. [表示] オプションで [プリンシパル] を選択します。

  3. リストで自分のアカウントを探します。リストの [ロール] 列でアカウントが [オーナー]、[編集者]、[Cloud Spanner 管理者]、または [Cloud Spanner データベース管理者] となっている場合、十分な権限があります。それ以外の場合は、次のステップに進みます。

  4. [Spanner インスタンス] ページに移動します。

    インスタンス ページに移動

  5. データベースを含むインスタンスのチェックボックスを選択します。

  6. 情報パネルの [権限] タブで、プリンシパル リストを開いてアカウントを見つけます。リストでアカウントが [オーナー]、[編集者]、[Spanner 管理者] または [Spanner データベース管理者] となっている場合、十分な権限があります。それ以外の場合は、次のステップに進みます。

  7. インスタンス名をクリックして [インスタンスの詳細] ページに移動します。

  8. [情報パネルを表示] をクリックします。

  9. ページの [概要] タブで、データベースのチェックボックスをオンにします。

  10. 情報パネルの [権限] タブで、プリンシパル リストを開いてアカウントを見つけます。リストでアカウントが [オーナー]、[編集者]、[Spanner 管理者] または [Spanner データベース管理者] となっている場合、十分な権限があります。

プロジェクト レベル、プロジェクト レベル、データベース レベルで十分な権限がない場合は、そのプロジェクトのオーナーに権限の追加を依頼してください。

データベース レベルの権限を追加する

プリンシパルにデータベース レベルのロールのアクセス権を付与する手順は次のとおりです。

  1. [Spanner インスタンス] ページに移動します。

    インスタンス ページに移動

  2. データベースが含まれているインスタンスの名前をクリックして、[インスタンスの詳細] ページに移動します。

  3. [概要] タブで、データベースのチェックボックスをオンにします。
    情報パネルが表示されます。

  4. [プリンシパルを追加] をクリックします。

  5. [プリンシパルの追加] パネルの [新しいプリンシパル] に、追加するアカウントのメールアドレスを入力します。

  6. プルダウン リストでロールを選択します(複数可)。

  7. [保存] をクリックします。

データベース レベルの権限を削除する

プリンシパルからデータベース レベルのロールを削除する手順は次のとおりです。

  1. [Spanner インスタンス] ページに移動します。

    インスタンス ページに移動

  2. データベースが含まれているインスタンスの名前をクリックして、[インスタンスの詳細] ページに移動します。

  3. [概要] タブで、データベースのチェックボックスをオンにします。
    情報パネルが表示されます。

  4. 情報パネルの [ロール / プリンシパル] で、削除するデータベース レベルのロールを見つけて開きます。

    このロールを持つプリンシパルのリストが表示されます。

  5. ロールを削除するプリンシパルの横にあるゴミ箱アイコンをクリックします。

  6. 確認ダイアログでチェックボックスをオンにして、[削除] をクリックします。

バックアップ レベルの権限

バックアップレベルの IAM 権限は、 Google Cloud コンソールの [IAM] ページでアカウントに付与できます。

権限を追加できることを確認する

データベース レベルの権限を適用する前に、別のアカウントにロールを割り当てる権限があることを確認します。プロジェクト レベル、インスタンス レベル、またはバックアップ レベルで権限が必要です。

  1. プロジェクトの IAM ページに移動します。

    IAM ページに移動

  2. [表示] オプションで [プリンシパル] を選択します。

  3. リストで自分のアカウントを探します。リストの [ロール] 列でアカウントが [オーナー]、[編集者]、[Cloud Spanner 管理者]、[Cloud Spanner バックアップ管理者] となっている場合、十分な権限があります。それ以外の場合は、次のステップに進みます。

  4. [Spanner インスタンス] ページに移動します。

    インスタンス ページに移動

  5. バックアップを含むインスタンスのチェックボックスを選択します。

  6. 情報パネルの [権限] タブで、プリンシパル リストを開いてアカウントを見つけます。リストでアカウントが [オーナー]、[編集者]、[Spanner 管理者] または [Spanner バックアップ管理者] となっている場合、十分な権限があります。それ以外の場合は、次のステップに進みます。

  7. インスタンス名をクリックして [インスタンスの詳細] ページに移動します。

  8. [バックアップ / 復元] タブをクリックし、[バックアップ] テーブルからバックアップを選択します。

  9. [情報パネルを表示] をクリックします。

  10. [情報パネル] でアカウントを検索します。リストの [ロール] 列でアカウントが [オーナー]、[編集者]、[Cloud Spanner 管理者]、[Cloud Spanner バックアップ管理者] となっている場合、十分な権限があります。

プロジェクト レベルまたはインスタンス レベルで十分な権限がない場合は、そのプロジェクトのオーナーに権限の追加を依頼してください。

バックアップ レベルの権限を追加する

次の手順に沿って、Spanner のロールをプロジェクト内の個別のバックアップに適用します。

  1. [Spanner インスタンス] ページに移動します。

    インスタンス ページに移動

  2. バックアップが含まれているインスタンスの名前をクリックして、[インスタンスの詳細] ページに移動します。

  3. [バックアップ / 復元] タブで、バックアップを選択します。
    [情報パネル] が表示されます。

  4. [情報パネル] で [権限] タブをクリックします。

  5. 情報パネルの [プリンシパルの追加] ボックスに、追加するアカウントのメールアドレスを入力します。

  6. プルダウン リストでロールを選択します(複数可)。

  7. [追加] をクリックします。