Fastly ログにキーを保存することを回避するために、Google IAM サービスアカウントの権限借用を設定する

Google Cloud Storage、BigQuery、または Pub/Sub ログエンドポイントを追加する場合、機密情報の保存を回避するため、一時的な認証情報を使用する代わりにGoogle IAM ロールベースのサービスアカウントの権限借用を設定することを推奨します。

Google Cloud Console でロールベースのサービスアカウントの権限借用を設定するには、下記の手順に従ってください:

1. Google Cloud Console にログインします。

2. IAM & Admin ページに移動します。

3. メインツールバーの検索フィールドの左側にあるプロジェクト名を確認し、Fastly Google エンドポイントに設定されたプロジェクトが存在することを確認します。必要に応じて、このプロジェクトを選択するメニューを使用して、適切なプロジェクトを選択します。

4. 左側のナビゲーションから、Service Accounts をクリックします。

5. ログエンドポイントに使用するサービスアカウントのメールアドレスをクリックします。

6. Permissions をクリックします。

7. Grant Access をクリックします。

8. New principals フィールドに、次を入力します。

   fastly-logging@datalog-bulleit-9e86.iam.gserviceaccount.com

9. Role メニューをクリックして、Filter フィールドを開きます。

10. Filter フィールドに、Service Account Token Creator を入力し、表示されるロールのリストから選択します。

11. Save をクリックします。

ロールベースのサービスアカウントの権限を借用するために Google IAM を設定したら、サービスアカウントの名前と関連するプロジェクト ID をメモしてください。この情報は、Google Cloud Storage (GCS) をログエンドポイントとして追加する際に必要となります。サービスアカウント ID は、サービスアカウントのメールアドレスの @ の前にあり、プロジェクト ID が直後に続きます。例えば、サービスアカウントのメールアドレスが my-name@projectid.iam.gserviceaccount.com の場合、サービスアカウント ID は my-name で、プロジェクト ID は projectid です。