1. 始める前に
この Codelab では、OAuth クライアントの設定方法と、Google Cloud コンソールを使用してプロジェクトのプリンシパルに Identity and Access Management(IAM)ロールを付与する方法について説明します。
前提条件
- Cloud コンソールの操作能力
学習内容
- アプリを OAuth クライアントとして設定する方法。
- Identity and Access Management(IAM)を使用してアプリへのアクセスを制限する方法。
必要なもの
- 最新のウェブブラウザ(Google Chrome など)
- Google アカウント(Gmail アカウント、Google Workspace アカウントなど)
- 無料トライアルの登録に使用する Cloud Billing アカウントまたはクレジット カードへのアクセス権。
2. Google Cloud プロジェクトを作成して請求先アカウントを設定する
- Cloud コンソールにログインします。
- プロジェクト セレクタのページに移動します。
- [プロジェクトの作成] をクリックします。
- プロジェクトに名前を付け、生成されたプロジェクト ID をメモします。
- 必要に応じて他のフィールドを編集します。
- [作成] をクリックします。
- Google Cloud リソースを使用するには、Cloud コンソールで課金を有効にします(まだ有効にしていない場合)。
この Codelab のコストはそれほど高くありませんが、クリーンアップ セクションの手順に沿ってリソースをシャットダウンし、この Codelab 以外のコストが発生しないようにしてください。Google Cloud の新規ユーザーは 300 米ドル分の無料トライアルをご利用いただけます。
3. IAM でアクセス権を付与する
IAM を使用すると、プロジェクトやリソースに対するロールベースのアクセス権をユーザーに付与できます。このセクションでは、IAM を使用して、プロジェクトのいくつかのロールへのアクセス権をユーザーに付与します。
IAM API と Resource Manager API を有効にする
- Cloud コンソールのナビゲーション メニューで、[API とサービス。
![API とダッシュボードを表示している Cloud コンソールのナビゲーション メニューサービス] オプションを使用します。](https://codelabs.developers.google.cn/static/codelabs.developers.google.com/grant-access-to-your-project-with-iam/img/fab40ba6c7e8009e.png?hl=ja)
- [API とサービスの有効化] を選択します。
![[API とサービスの有効化] オプション](https://codelabs.developers.google.cn/static/codelabs.developers.google.com/grant-access-to-your-project-with-iam/img/ee1ab06e82bd1cb1.png?hl=ja)
- IAM API を検索して有効にします。
Resource Manager APIを検索して有効にします。
IAM を使用してロールを付与する
- [IAM] ページに移動します。
プロジェクトの名前がプロジェクト セレクタに表示されます。プロジェクト セレクタは、現在どのプロジェクトかを示します。
プロジェクト名が表示されない場合は、プロジェクト セレクタを使用して選択します。
- [追加] をクリックします。
- プリンシパルのメールアドレスを入力します。
- [ロールを選択] プルダウン メニューから [ロギング] >ログ閲覧者 >保存します。
![[IAM] ページの表示](https://codelabs.developers.google.cn/static/codelabs.developers.google.com/grant-access-to-your-project-with-iam/img/3a96901123a2eb50.png?hl=ja)
- プリンシパルとロールが [IAM] ページに表示されていることを確認します。
これで、プリンシパルに Identity and Access Management ロールを付与しました。
Identity and Access Management ロールの影響を確認する
このセクションでは、ロールを付与したプリンシパルが、想定される Cloud コンソールのページにアクセスできることを確認します。
- ロールを付与したプリンシパルに次の URL を送信します。
https://console.cloud.google.com/logs?project=PROJECT_ID
- プリンシパルが URL にアクセスして表示できることを確認します。
プリンシパルは、適切なロールが付与されていない Cloud コンソール ページにはアクセスできません。代わりに、次の例のようなエラー メッセージが表示されます。
You don't have permissions to view logs.
同じプリンシパルに別のロールを付与する
- Cloud コンソールで [IAM] ページに移動します。
- 別のロールを付与するプリンシパルを見つけて、[編集 ]
をクリックします。 - [権限の編集] ペインで、[別のロールを追加] をクリックします。
![[別のロールを追加] オプションが表示されている [権限の編集] ペイン。](https://codelabs.developers.google.cn/static/codelabs.developers.google.com/grant-access-to-your-project-with-iam/img/cad597990e9ffd98.png?hl=ja)
- [ロールを選択] プルダウン メニューで、[プロジェクト] >閲覧者 >保存します。
![ロールのオプションが表示されている [権限の編集] ペイン。](https://codelabs.developers.google.cn/static/codelabs.developers.google.com/grant-access-to-your-project-with-iam/img/b20034bdc670a443.png?hl=ja)
これで、プリンシパルに 2 つ目の Identity and Access Management ロールが付与されました。
プリンシパルに付与したロールを取り消す
- ロールを取り消すプリンシパルを見つけて、[編集] をクリックします。
- [権限の編集] ペインで、以前にプリンシパルに付与した両方のロールの横にある
をクリックします。 - [保存] をクリックします。
両方のロールからプリンシパルを削除しました。このユーザーが、以前アクセスできたページを表示しようとすると、エラー メッセージが表示されます。
4. クリーンアップ
この Codelab で使用したリソースについて、Google Cloud アカウントに課金されないようにする手順は次のとおりです。
- Cloud コンソールで、[リソースの管理] ページに移動します。
- プロジェクト リストで、削除するプロジェクトを選択し、[削除] をクリックします。
- ダイアログでプロジェクト ID を入力し、[シャットダウン] をクリックしてプロジェクトを削除します。
5. 完了
これで、ここでは、OAuth クライアントを設定し、Cloud コンソールを使用してプロジェクトのプリンシパルに Identity and Access Management ロールを付与する方法を学びました。