お題
表題の通り。
以下のチュートリアル相当のことをやっただけ。
https://cloud.google.com/iam/docs/quickstart
前提
- 試行端末はLinux(Ubuntu 17.10)
- GCPアカウント取得済み
- gcloudコマンドインストール及びセットアップ済み
実践
ひとまず、プロジェクトを作成したオーナーのみ存在する状態から
これ用に作ったGoogleアカウントに対して「Pub/Subパブリッシャー」と「ストレージのオブジェクト作成者」ロールを付与
こうなる
これ用に作ったGoogleアカウントでログインしなおす(ホームのダッシュボードは参照できる)
GCEのロールは付けていないので参照できない
さて「Pub/Subパブリッシャー」ロール付けたからPub/Sub関連は強い権限あるのかと勝手に予想
えっ、参照できない。。。
こっちは「Pub/Subサブスクライバー」の管轄だろうから、まあ、参照できないのはわかる。。。
とりあえず、GCSの方も確認
ダメだった。。。
あらためまして、オーナーでログインして権限確認
「Pub/Subパブリッシャー」は「トピックにメッセージをパブリッシュします。」とある。つまり、参照権限は無い?
「ストレージのオブジェクト作成者」は「GCSにオブジェクトを作成できるアクセス権」とある。こっちは上位の”バケット”に関する権限がないためか?
なので、より強いと思われるロールに変えてみる
今度は、どうだ?
トピック作れたっ!!
GCSは?
さっきと違って、バケット作れそう。なので、満足。
まとめ
ロールによって何ができるかは確認した上で割り当てないといけない。
でも、どのロールが具体的にどこまでできる権限を持っているのかって何を見ればわかるんだ?
と思ったら、一応、↓に載ってた。
https://cloud.google.com/iam/docs/understanding-roles?hl=ja#cloud_pub_sub_roles