Grant Google Cloud Resource Permissions to CelerData
このトピックでは、CelerData にクラスタのデプロイとスケーリング操作のために必要な権限を付与する方法を説明します。
CelerData が CelerData クラスタ用の Google Cloud リソースを起動および管理できるようにするには、デプロイメント資格情報を作成する際に、Cloud settings ページの CelerData Cloud BYOC コンソールから、またはデプロイメント作成のワークフローの一部として、CelerData のパブリックサービスアカウントに特定の権限を持つ IAM ロールを付与する必要があります。
必要なロールと権限
CelerData があなたに代わってクラウドリソースを起動および管理するために必要なロールと権限は次のとおりです:
- 必要なシステム定義ロール:
Compute Admin - 必要な権限:
iam.serviceAccounts.actAsstorage.buckets.get
必要な権限を持つ IAM ロールを作成する
次の手順に従って IAM ロールを作成します:
-
Google Cloud console にサインインします。
-
左�側のナビゲーションメニューを展開し、IAM & Admin > Roles を選択します。
-
Create role をクリックします。
-
Create role ページで、次の手順に従います:
a. 新しいロールのタイトル(例:
DeploymentRoleTest)、ID、およびオプションで説明を入力します。b. Role launch stage ドロップダウンリストから General Availability を選択します。
c. Add permissions をクリックします。
d. 表示されるダイアログボックスで、上記の権限を Filter に検索し、選択して Add をクリックします。この手順を繰り返して、上記のすべての権限を追加します。
-
Create をクリックします。
CelerData のパブリックサービスアカウントに IAM ロールを付与する
各 Google Cloud リージョンで、CelerData はクラスタのデプロイとスケーリング操作のためにパブリックサービスアカウントを維持しています。前のステップで作成した IAM ロールを付与する必要が��あります。
| GCP リージョン | リージョン ID | CelerData のパブリックサービスアカウントメールアドレス |
|---|---|---|
| US Central (Iowa) | us-central1 | service@celerdata-byoc-1683716900563.iam.gserviceaccount.com |
次の手順に従って、CelerData のパブリックサービスアカウントに IAM ロールを付与します:
-
Google Cloud console にサインインします。
-
左側のナビゲーションメニューを展開し、IAM & Admin > IAM を選択します。
-
IAM ページの Allow タブで、Grant access をクリックします。
-
表示されるダイアログボックスで、次の手順に従います:
a. クラスタをデプロイしたい Google Cloud リージョンの CelerData のパブリックサービスアカウントメールアドレスを New principals フィールドに貼り付けます。
b. Role フィールドで、先ほど作成したロール (
DeploymentRoleTest) を検索して選択し、Add another role をクリックします。c. Role フィールドで、ロール
Compute Adminを検索して選択します。d. Save をクリックして条件を保存します。
-
Save をクリックしてアクセスを付与します。