ユーザー、グループ、サービス アカウントなどのプリンシパルに Identity and Access Management(IAM)ロールを割り当てて、App Hub アプリケーションにアクセスできるユーザーを構成します。アプリケーションは、プロジェクトまたはプロジェクトのフォルダであるアプリケーション管理境界内に含まれ、管理プロジェクトによって管理されます。
これらの権限は、次の 2 つの方法で管理プロジェクトのプリンシパルに付与できます。
- 境界内のすべてのアプリケーションへのアクセス権を付与します。
- 境界内の個々のアプリケーションへのアクセス権を付与します。
推奨されるロールについては、ユーザーにアプリケーション中心のロールを付与するをご覧ください。
すべてのアプリケーションへのアクセスを許可する
アプリケーション管理境界内のすべてのアプリケーションへのアクセス権を付与するには、管理プロジェクトのプリンシパルに IAM ロールを割り当てます。
コンソール
Google Cloud コンソールで、プロジェクト選択ツールを使用して管理プロジェクトを選択します。
[IAM] ページに移動します。
[ アクセスを許可] をクリックします。
境界内のすべてのアプリケーションにアクセスするプリンシパルの ID を入力します。例:
user@example.com[ロールを選択] プルダウン メニューから、割り当てるロールを検索してクリックします。
[保存] をクリックします。
プリンシパルと対応するロールが IAM ページに表示されていることを確認します。
gcloud
管理プロジェクトのプロジェクト ID を確認します。
ポリシー バインディングを追加します。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=USER_EMAIL \ --role=ROLE次のように置き換えます。
PROJECT_ID: 管理プロジェクトの ID。USER_EMAIL: 境界内のすべてのアプリケーションにアクセスするユーザーのメールアドレス(例:user@example.com)。ROLE: ユーザーに提供するロール(roles/apphub.editorなど)。
個々のアプリケーションへのアクセス権を付与する
アプリケーション管理境界内の個々のアプリケーションへのアクセス権を付与するには、アプリケーションのプリンシパルに IAM ロールを割り当てます。
管理プロジェクトのプロジェクト ID を確認します。
IAM ポリシーを設定します。
gcloud apphub applications set-iam-policy APPLICATION_NAME \ --project=PROJECT_ID \ --location=LOCATION \ POLICY_FILE次のように置き換えます。
APPLICATION_NAME: アプリケーションの名前。 名前には、スペースなしの小文字の英数字のみを使用します(例:my-application)。PROJECT_ID: 管理プロジェクトの ID。LOCATION: アプリケーションのロケーション。POLICY_FILE: ユーザーにロールを付与するポリシー ファイルの名前(my-policy.yamlなど)。
次のポリシー ファイルの例では、ユーザー user@example.com に roles/apphub.editor ロールを付与します。
# policyfile.yaml
bindings:
- role: roles/apphub.editor
members:
- user:user@example.com