インストールの完了後、GCP プロジェクトには次のユーザーが関連付けられています。
- ご自身(オーナー)
- サービス アカウントを作成するに記載されているサービス アカウント
Apigee 組織がプロビジョニングされたという確認を受け取ったら、Google Cloud Platform(GCP)プロジェクトにユーザー アカウントをさらに追加できます。このためには、GCP Console で IAM サービスを使用します。
ここでは、GCP プロジェクトに新しいユーザー アカウントを追加し、そのアクセスを管理する方法について説明します。分析レポートを作成するユーザーや、API プロキシのデプロイとデプロイ解除を担当するユーザーなど、特殊なロールが割り当てられるユーザー アカウントがあります。API アクセスの詳細を含む Apigee のロールの説明については、ユーザーとロールをご覧ください。
小規模プロジェクトの場合は、新しいユーザーを追加する必要がない場合もあります。大規模プロジェクトの場合は、Apigee のロールごとに 1 人以上の新しいメンバーを追加します。Apigee の組織管理者のロールには最高レベルの権限が含まれているため、割り当てるこのロールの数を制限してください。
GCP プロジェクトでユーザーを追加して Apigee のロールを割り当てるには:
- Google Cloud Platform(GCP)Console を開き、GCP アカウントでログインします。
- ハイブリッド対応プロジェクトを選択します。
- [IAM と管理者] > [IAM] を選択します。
Console に [権限] ビューが表示されます。
- 新しいユーザーを追加するには、[+追加] ボタンをクリックします。
Console に [メンバーを追加] ビューが表示されます。
- [新しいメンバー] フィールドに、新しいユーザーのアカウントのメールアドレスを入力します。
メールアドレスは次のいずれかのタイプである必要があります。
- Google アカウント(例: fred@gmail.com)。すべての Gmail アカウントは Google アカウントですが、ドメインが異なるメールアドレスを Google アカウントとして登録することもできます。
- Google グループの名前。たとえば my-group@googlegroups.com などです。Google グループをユーザーとして追加すると、グループのすべてのメンバーにそのロールが割り当てられます。
- サービス アカウントたとえば my-service-account@example.gserviceaccount.com などです。(サービス アカウントをここに追加する必要はありません。)
- G Suite ドメイン。たとえば address@example-domain.com などです。この example.com は Google Cloud サービスの登録時に使用したドメインです。
[新しいメンバー] フィールドに複数のメールアドレスを指定し、これらのアドレスすべてに同一のロールを割り当てることができます。異なるメールアドレスに異なるロールを割り当てるには、新しいメンバーごとにステップ 4 と 5 を実行します。
- 新しいメンバーに少なくとも 1 つのロールを割り当ててください。
- [ロールを選択] プルダウン リストを展開します。
- 割り当てるロールを選択します。割り当てるロールを決定するには、ユーザー アカウントとロールの説明をご覧ください。
- Apigee のロールを割り当てるには、フィルタに「Apigee」と入力します。これにより、次の例に示すように Apigee のロールのみがプルダウン リストに表示されます。
- ユーザーに割り当てるロールごとにこの手順を繰り返します。
- [保存] ボタンをクリックして、ロールを割り当てられた新しいユーザーを GCP プロジェクトに追加します。
- 追加するユーザーごとにこの手順を繰り返します。
これで、GCP でプロジェクトの新規ユーザーが、割り当てられている権限で組織内のすべての環境にアクセスできます。特定の環境へのユーザーのアクセスを制限するには、ハイブリッド UI でユーザー アカウントを追加するの説明に従ってハイブリッド UI を使用します。