目次

配信の権限

File Storage Security をGCPにデプロイする前に、次のタスクを完了してください。

  1. Cloud Oneにお申し込みください。ここでアカウントを作成できます: https://cloudone.trendmicro.com.

    また、GCPを Cloud Oneに接続します。GCPアカウントを接続する方法の詳細については、GCPアカウントをCloud Oneに接続するを参照してください。

  2. File Storage Securityを展開するクラウドストレージサービスにサインインします。

  3. IAM & Admin> IAM に移動し、サービスアカウントに Owner 役割が割り当てられていることを確認します。

    Owner の役割は、事前定義されたGCPの役割です。プロジェクトのすべてのリソースへのフルアクセス権があり、他のユーザにアクセス権を委任できます。詳細については、単一ロールの付与を参照してください。

配信前に次のことを実行します。

  1. 特定のAPIを有効にする

  2. カスタムの役割を作成します

  3. カスタムロールをサービスアカウントにバインドします

次のAPIを有効にする

次のAPIを有効にします。

  • Cloud Build API
  • Cloud Deployment Manager V2 API
  • Cloud Functions API
  • Cloud Pub/Sub API
  • Cloud Resource Manager API
  • Cloud Scheduler API
  • IAM Service Account Credentials API
  • Identity and Access Management API
  • Secret Manager API

有効なAPIを確認するには、次のスクリプトを実行します。

gcloud services list -- enabled

必要なAPIをすべて一度に有効にするには、次のスクリプトを実行します。

gcloud services enable cloudbuild.googleapis.com deploymentmanager.googleapis.com cloudfunctions.googleapis.com pubsub.googleapis.com cloudresourcemanager.googleapis.com cloudscheduler.googleapis.com iamcredentials.googleapis.com iam.googleapis.com secretmanager.googleapis.com

カスタムの役割を作成する

次の権限を含むカスタムの役割を作成する必要があります。

  • cloudfunctions.functions.setIamPolicy
  • iam.roles.create
  • iam.serviceAccounts.setIamPolicy
  • pubsub.topics.setIamPolicy
  • resourcemanager.projects.setIamPolicy
ROLE_IDおよびROLE_TITLEを作成する場合、いくつかの制限があります。

  • ROLE_IDの長さ:3-64文字。IDには文字、数字、ピリオド、およびアンダースコアのみを含めることができます。
  • ROLE_TITLEの長さ:1-100文字。

必要な権限を持つカスタムの役割を作成するには、次のスクリプトを実行します。

gcloud iam roles create <ROLE_ID> --project=<PROJECT_ID> \ --title=<ROLE_TITLE> --description="Custom role for deployment" \ --permissions="cloudfunctions.functions.setIamPolicy,iam.roles.create,iam.serviceAccounts.setIamPolicy,pubsub.topics.setIamPolicy,resourcemanager.projects.setIamPolicy" --stage=GA

カスタムの役割をサービスアカウントにバインドする

カスタムの役割をサービスアカウント <GCP_PROJECT_NUMBER>@cloudservices.gserviceaccount.comにバインドします。このサービスアカウントはGCPによって作成され、名前は Google APIs Service Agentです。

  1. 次のスクリプトを実行して、プロジェクト番号を取得します。

    gcloud projects list --filter=<PROJECT_ID> --format="value(PROJECT_NUMBER)"

  2. プロジェクトIDとプロジェクト番号を指定して、次のスクリプトを実行し、サーバアカウントをバインドします。

    gcloud projects add-iam-policy-binding <PROJECT_ID> \ --member=serviceAccount:<PROJECT_NUMBER>@cloudservices.gserviceaccount.com --role=<ROLE_ID>

次のAPIは、GCPプロジェクトの作成時に有効にする必要があります。

  • BigQuery API
  • BigQuery Migration API
  • BigQuery Storage API
  • Cloud Datastore API
  • Cloud Debugger API
  • Cloud Logging API
  • Cloud Monitoring API
  • Cloud SQL
  • Cloud Storage
  • Cloud Storage API
  • Cloud Trace API
  • Google Cloud API
  • Google Cloud Storage JSON API
  • Service Management API
  • Service Usage API

これで、配信前のタスクが完了しました。次に、展開パスを決定します。

次のセクション に進んでサインインします。