GCP 接続

GCP クラウドリソースへアクセスするための接続を作成する際は、接続のスコープを定義する必要があります。GCP 接続では、Google Cloud のサービスアカウントを使用する必要があります。

DoiT コンソールでは、GCP 接続の作成を支援するステップバイステップのウィザードを提供しています。ウィザードでは、Details、Scope、Policies and permissions、Deploy、User access の 5 ステップを順に実行します。

必要な権限

GCP 接続を作成するには、DoiT アカウントに CloudFlow Manager または CloudFlow Editor 権限が付与されている必要があります。

前提条件

Google Cloud 環境に対して接続を作成するには、対応する Google Cloud 組織またはプロジェクトが有効な課金アカウントにリンクされている必要があります。

すでに Integrations でこのプロジェクトまたは組織をリンク済みですか？

Google Cloud リソースがすでに DoiT Cloud Intelligence に接続されている場合は、このウィザードを実行する代わりに、既存の権限から接続を作成できます。専用の CloudFlow サービスアカウント、カスタムスコープ、または個別のロールが必要な場合に Create connection を選択してください。

ステップ 1: Details

ウィザードを起動すると、最初に接続名と、ウィザードによって作成されるサービスアカウント名を指定します。

1. DoiT コンソール にサインインし、上部ナビゲーションのメガメニューから Automation and operations を選択し、CloudFlow を選択します。

2. サイドバーから Connections を選択します。

3. Connections ペインで Google Cloud タブを選択します。

4. Create connection を選択します。

5. まだ展開されていない場合は、矢印を選択して Details を展開します。

6. Connection name に、この接続の目的やスコープを表す一意の名前を入力します。この接続は DoiT プラットフォーム上に存在し、フロー自体との対話に関するユーザーの権限を定義します。

7. Service account name に、この接続で使用する Google Cloud サービスアカウントの名前を入力します。名前には自動的に doit-cloudflow- という接頭辞が付きます。デフォルトでは、サービスアカウント名は接続名と同じになります。別の名前が必要な場合は変更できます。これは CloudFlow がフローを実行する際に使用するサービスアカウントです。

8. Custom IAM role ID に、この接続の権限を定義する Google Cloud カスタムロールの識別子を入力します。ロール ID には自動的に doit.cloudflow. という接頭辞が付きます。デフォルトでは、IAM ロール ID は接続名と同じになります。別のロール ID が必要な場合は変更できます。このカスタムロールは DoiT プラットフォーム上ではいかなる権限も持ちません。

9. Next を選択します。

ステップ 2: Scope

Scope ステップでは、この接続がアクセスできる Google Cloud リソースを定義します。

1. まだ展開されていない場合は、矢印を選択して Scope を展開します。

2. Project ID で、この接続を使用する際にフローが実行される Google Cloud プロジェクトおよび組織を選択します。

3. バインディングレベルを選択します。バインディングレベルは、CloudFlow が IAM を組織レベルとプロジェクトレベルのどちらに適用するかを指定します。

4. Next を選択して次のステップに進みます。

ステップ 3: Policies and permissions

フローが実行時に引き受けるカスタムロールの権限を定義します。

1. GCP predefined roles で、この接続に追加する Google Cloud の事前定義ロールを選択します。

2. Permission に、追加で必要な権限を入力します（例: storage.objects.get）。

3. （オプション）フローに追加の GCP 権限が必要な場合は、Add another permission を選択します。追加したい GCP 権限ごとに繰り返してください。

   

4. Next を選択します。

ステップ 4: Deploy to Google Cloud

指定した権限を持つ Google Cloud サービスアカウントとカスタムロールを作成する必要があります。これは Google Infrastructure Manager または Terraform を使用して実行します。Terraform 設定を直接、または Google Infrastructure Manager 経由でデプロイすることで実施します。これらは、接続スコープに含まれる各 Google Cloud プロジェクトごとに個別に適用する必要があります。

1. まだ展開されていない場合は、矢印を選択して Deploy to Google Cloud を展開します。

   Infrastructure Manager

   1. Infrastructure Manager タブを選択します。
   2. 表示されているコードブロックをコピーします。
   3. デプロイ先とするプロジェクトで Open Google Cloud Shell を選択します。
   4. コードを貼り付けてコマンドを実行します。
   5. 接続スコープ内の各プロジェクトについて繰り返します。

   Terraform

   1. Terraform タブを選択します。
   2. まだ行っていない場合は、シェル環境に Terraform をインストール します。
   3. Google Cloud CLI をインストールし、Google Cloud アカウントで認証します。
   4. Download main.tf を選択して main.tf ファイルを作成します。ファイルは Downloads フォルダに保存されます。
   5. 新しいディレクトリを作成し、main.tf ファイルをそのディレクトリにコピーします。新しいディレクトリの場合は、他のコマンドを実行する前に、そのディレクトリ内で terraform init を実行して Terraform プロジェクトを初期化してください。
   6. 表示されているコードブロックをコピーし、main.tf ファイルに貼り付けます。
   7. デプロイ先とするプロジェクトで terraform apply を実行します。
   8. 接続スコープ内の各プロジェクトについて繰り返します。

   詳細については、Terraform 向けの接続スクリプトとサポートドキュメント・サンプルを格納している GitHub リポジトリを参照してください。

2. ウィザードがデプロイメントを検証します。検証が成功したら、Next を選択します。

ステップ 5: User access

この接続へアクセスし、フロー内で使用する権限を持つ DoiT アカウントを指定します。

1. まだ展開されていない場合は、矢印を選択して User access を展開します。

2. Email で、この接続を使用できる DoiT アカウントのメールアドレスを選択します。

3. Connection access level で、その DoiT アカウントに付与するアクセスレベルを選択します。

4. 別のアカウントを追加するには、Add another account を選択します。

5. この接続を使用できる各 DoiT アカウントについて、これらの手順を繰り返します。

6. Finish connection を選択します。接続の作成には数分かかる場合があります。接続が作成されたら、フローで接続を使用できます。