GSP064

概要

Google Cloud の Identity and Access Management（IAM）サービスを使用すると、Google Cloud リソースの権限を作成および管理できます。Cloud IAM は、一連の Google Cloud サービスに関するアクセス制御を 1 つのシステムに統合し、一貫性のあるオペレーションを提供します。

このラボでは、2 組の異なる認証情報でログインし、Google Cloud プロジェクトのオーナーのロールと閲覧者のロールで権限の付与と取り消しを行う方法を確認します。

学習内容

• 2 人目のユーザーにロールを割り当てる
• Cloud IAM に関連付けられた割り当て済みのロールを削除する

前提条件

これは入門レベルのラボで、Cloud IAM の予備知識はほとんど、またはまったく必要ありません。Cloud Storage の使用経験はこのラボで作業を進めるのに役立ちますが、必須ではありません。開始にあたっては、使用可能な .txt または .html 形式のファイルをご用意ください。Cloud IAM に関する高度な演習をお探しの場合は、Google Cloud Skills Boost ラボの IAM のカスタムロールをご確認ください。

準備ができたら下にスクロールし、手順に沿ってラボ環境をセットアップします。

2 人のユーザーのセットアップ

前述したように、このラボでは 2 組の認証情報を使用して、IAM ポリシーと、それぞれのロールで使用できる権限について説明します。

ラボの左側にある [ラボへの接続] パネルに、次のような認証情報のリストが表示されます。

ユーザー名 1 とユーザー名 2 の 2 つのユーザー名がありますのでご注意ください。これらは Cloud IAM での ID を示し、それぞれに異なるアクセス権限が割り当てられています。これらの「ロール」によって、自分が割り当てられたプロジェクトの Google Cloud リソースに対して、できることとできないことに関する制約が設定されます。

1 人目のユーザーとして Cloud コンソールにログインする

1. [Google Console を開く] ボタンをクリックすると、新しいブラウザタブが開きます。アカウントの選択を求められたら、[別のアカウントを使用] をクリックします。
2. Google Cloud のログインページが開きます。ログインページが開いたら、googlexxxxxx_student@qwiklabs.net のような、ユーザー名 1 の認証情報をコピーして [メールアドレスまたは電話番号] フィールドに貼り付け、[次へ] をクリックします。
3. [ラボへの接続] パネルでパスワードをコピーして、[Google ログイン パスワード] フィールドに貼り付けます。
4. [次へ] をクリックして、利用規約に同意します。Cloud コンソールが開きます。利用規約に合意して [同意して続行] をクリックします。

2 人目のユーザーとして Cloud コンソールにログインする

1. [Google Console を開く] ボタンをもう一度クリックします。新しいブラウザタブが開き、アカウントの選択を求められたら、[別のアカウントを使用] をクリックします。
2. Google Cloud のログインページが開きます。googlexxxxxx_student@qwiklabs.net のようなユーザー名 2 の認証情報をコピーして、[メールアドレスまたは電話番号] フィールドに貼り付け、[次へ] をクリックします。
3. [ラボへの接続] パネルでパスワードをコピーして、[Google ログイン パスワード] フィールドに貼り付けます。
4. [次へ] をクリックして、利用規約に同意します。Cloud コンソールが開きます。利用規約に合意して [同意して続行] をクリックします。

これで、ブラウザに新しい 2 つの Cloud コンソールタブが開き、その 1 つはユーザー名 1、もう 1 つはユーザー名 2 でログインした状態になります。

ブラウザタブでユーザーを表示、リセットする

ブラウザタブでユーザーが上書きされる場合や、どのユーザーがどのブラウザタブでログインしているのかわからなくなる場合があります。

アバターにカーソルを合わせて、そのブラウザタブのユーザー名を表示することで、ブラウザタブにログインしているユーザーを確認できます。

ブラウザタブにログインしているユーザーをリセットするには:

1. アバターをクリックし、[ログアウト] をクリックしてログアウトします。
2. [ラボへの接続] パネルで、[Google コンソールを開く] をクリックし、適切なユーザー名とパスワードを使用してログインし直します。

IAM コンソールとプロジェクト レベルのロール

1. ユーザー名 1 の Cloud コンソール ページに戻ります。
2. ナビゲーション メニュー > [IAM と管理] > [IAM] を選択します。これで、[IAM と管理] コンソールが表示されます。
3. ページ上部の+アクセス権付与ボタンをクリックします。
4. 基本まで下にスクロールし、カーソルを合わせます。

次の 4 つのロールがあります。

• 参照者
• 編集者
• オーナー
• 閲覧者

これらは Google Cloud の基本ロールです。基本ロールはプロジェクト レベルの権限を設定するもので、別途指定しない限り、すべての Google Cloud サービスへのアクセスと管理がこれによって制御されます。

次の表は、Google Cloud IAM の記事、基本ロールに書かれている定義の抜粋です。参照者、閲覧者、編集者、オーナーそれぞれのロールの権限が簡潔にまとめられています。

ロール名	権限
roles/viewer	既存のリソースやデータを表示する（ただし変更は不可能）など、状態に影響しない読み取り専用アクションに必要な権限。
roles/editor	すべての閲覧者権限と、状態を変更するアクション（既存のリソースの変更など）に必要な権限。
roles/owner	すべての編集者権限と、以下のアクションを実行するために必要な権限。 プロジェクトおよびプロジェクト内のすべてのリソースの権限とロールを管理する。 プロジェクトの課金情報を設定する。
roles/browser	フォルダ、組織、Cloud IAM ポリシーなど、プロジェクトの階層を参照するための読み取りアクセス権。このロールには、プロジェクトのリソースを表示する権限は含まれていません。

このプロジェクトのロールと権限の管理ができましたので、ユーザー名 1 にはプロジェクト オーナーの権限があることになります。

4. [キャンセル] をクリックして [プリンシパルを追加] パネルを終了します。

編集者のロールを調べる

次に、ユーザー名 2 のコンソールに切り替えます。

1. [IAM と管理] コンソールに移動し、ナビゲーション メニュー > [IAM と管理] > [IAM] を選択します。

2. テーブルでユーザー名 1 とユーザー名 2 を検索し、それらに付与されているロールを確認します。ユーザー名 1 とユーザー名 2 のロールは、各ユーザーの右にインラインで一覧表示されます。

次のように表示されます。

• ユーザー名 2 には「閲覧者」のロールが付与されています。
• 上部の+アクセス権付与ボタンはグレー表示されており、クリックしようとすると、次のメッセージが表示されます。「この操作には権限が必要です。必要な権限: resource manager.projects.setIamPolicy」

これは、Google Cloud でできることとできないことに IAM ロールがどのように影響するかを示す一例です。

3. 次のステップのためにユーザー名 1 のコンソールに切り替えます。

アクセステストのためのリソースの準備

ユーザー名 1 の Cloud コンソールが表示されていることを確認します。

バケットの作成

1. 一意の名前で Cloud Storage バケットを作成します。Cloud コンソールから、ナビゲーション メニュー > [Cloud Storage] > [バケット] を選択します。

2. [+作成] をクリックします。

注: バケットの作成で権限エラーが発生した場合は、ログアウトしてからユーザー名 1 の認証情報でログインし直してください。

3. 次の項目を更新し、他の項目はすべてデフォルト値のままにします。

プロパティ	値
名前:	グローバルな一意の名前（自分で作成してください）を入力して [続行] をクリックします。
ロケーション タイプ	マルチリージョン

バケット名をメモしてください。この値は、後のステップで使用します。

4. [作成] をクリックします。

注: バケットの作成で権限エラーが発生した場合は、ログアウトしてからユーザー名 1 の認証情報でログインし直してください。

サンプル ファイルのアップロード

1. [バケットの詳細] ページで、[ファイルをアップロード] をクリックします。

2. パソコン内を探して、使用するファイルを見つけます。任意のテキスト ファイルまたは html ファイルを使用できます。

3. そのファイルの行の末尾にあるその他アイコンをクリックし、[名前を変更] をクリックします。

4. ファイル名を「sample.txt」に変更します。

5. [名前を変更] をクリックします。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。

バケットを作成してサンプル ファイルをアップロードする

プロジェクト閲覧者のアクセス権の確認

1. ユーザー名 2 のコンソールに切り替えます。

2. コンソールから、ナビゲーション メニュー > [Cloud Storage] > [バケット] を選択します。このユーザーがバケットを表示できることを確認します。

ユーザー名 2 には「閲覧者」のロールが付与されており、状態に影響を与えない読み取り専用アクションが許可されています。この例は、そのユーザーが、自分にアクセス権がある Google Cloud プロジェクトでホストされている Cloud Storage バケットとファイルを閲覧できることを示しています。

プロジェクトへのアクセス権の削除

ユーザー名 1 のコンソールに切り替えます。

ユーザー名 2 のプロジェクト閲覧者の権限の削除

1. ナビゲーション メニュー > [IAM と管理] > [IAM] を選択します。次に、ユーザー名 2 の右にインラインで表示されている鉛筆アイコンをクリックします。

注: 鉛筆アイコンが見えない場合は、必要に応じて画面を広げてください。

2. ロール名の横にあるゴミ箱アイコンをクリックし、ユーザー名 2 のプロジェクト閲覧者のアクセス権を削除します。最後に [保存] をクリックします。

このユーザーがメンバーのリストから消去されていれば、アクセス権が取り消されていることになります。

注: 変更が反映されるまで最大で 80 秒ほどかかることがあります。Google Cloud IAM の詳細については、Google Cloud IAM のリソースのドキュメント中のよくある質問をご覧ください。

ユーザー名 2 がアクセス権を失ったことの確認

1. ユーザー名 2 の Cloud コンソールに切り替えます。権限が取り消された後もプロジェクトからログアウトされておらず、ユーザー名 2 の認証情報でログインしたままであることを確認します。ログアウトしている場合には、適切な認証情報で再度ログインしてください。

2. ナビゲーション メニュー > [Cloud Storage] > [バケット] を選択して、Cloud Storage に戻ります。

権限エラーが表示されます。

注: 前述したように、権限が取り消されるまでに最大で 80 秒ほどかかることがあります。権限エラーが発生しなかった場合は、2 分待ってからコンソールを更新してみてください。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。

プロジェクトへのアクセス権の削除

Storage の権限の追加

1. ラボへの接続パネルから、名前ユーザー名 2をコピーします。

2. ユーザー名 1 のコンソールに切り替えます。ユーザー名 1 の認証情報でログインしたままであることを確認します。ログアウトしている場合は、適切な認証情報で再度ログインしてください。

3. Cloud コンソールで、ナビゲーション メニュー > [IAM と管理] > [IAM] を選択します。

4. +アクセス権付与ボタンをクリックして、名前ユーザー名 2 を新しいプリンシパルフィールドに貼り付けます。

5. [ロールを選択] フィールドで、[Cloud Storage] > [ストレージ オブジェクト閲覧者] をプルダウン メニューから選択します。

6. [保存] をクリックします。

アクセス権の確認

1. ユーザー名 2 のコンソールに切り替えます。引き続き、[Storage] ページが表示されています。

ユーザー名 2 はプロジェクト閲覧者ロールがないため、Cloud Console でプロジェクトやそのリソースを表示できません。ただし、このユーザーには、Cloud Storage に対する、Storage オブジェクト閲覧者という特定のアクセス権があります。ここで確認してください。

2. 「Cloud Shell をアクティブにする 」クリックして、Cloud Shell コマンドラインを開きます。プロンプトが表示されたら、[続行] をクリックします。

3. Cloud Shell セッションを開き、次のコマンドを入力します。このとき、[YOUR_BUCKET_NAME] を先ほど作成したバケットの名前に置き換えます。

gsutil ls gs://[YOUR_BUCKET_NAME]

次のような出力が返されます。

gs://[YOUR_BUCKET_NAME]/sample.txt 注: AccessDeniedException が表示される場合は、1 分待ってから前のコマンドを再度実行します。

4. これにより、ユーザー名 2 に Cloud Storage バケットへの表示アクセス権が付与されていることがわかります。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。

Storage の権限の追加

お疲れさまでした

Cloud IAM のロールをユーザーに付与し、取り消す演習を行いました。

次のステップと詳細情報

このラボは、Google Cloud が提供する多くの機能を体験できる「Qwik Start」と呼ばれるラボシリーズの一部でもあります。Google Cloud Skills Boost カタログで「Qwik Start」を検索し、興味のあるラボを探してみてください。

Google Cloud トレーニングと認定資格

Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。

マニュアルの最終更新日: 2024 年 1 月 26 日

ラボの最終テスト日: 2023 年 9 月 19 日

Copyright 2024 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。