前提条件
- IAM管理者アクセス権を持つGCPプロジェクト。
- プロジェクト内でサービスアカウントを作成しIAMロールを割り当てる権限。
- ブラウザでGoogle Cloud Consoleへのアクセス。
ビューアーレベルのサービスアカウントで、コスト分析、セキュリティ監査、リソース検査が可能です。書き込み機能が必要な場合にのみロールを拡張してください。
セットアップ
サービスアカウントを作成
Google Cloud Consoleでプロジェクトを選択し、IAM & Admin → Service accounts に移動します。Create Service Account をクリックして次の情報を入力します:
- 名前:
cloudthinker-readonly - 説明:CloudThinker監視用の読み取り専用アクセス
ロールを割り当て
必要なビューアーロールを付与します:
Viewer(基本的な読み取りアクセス)Monitoring Viewer(監視データ用)Security Reviewer(セキュリティ分析用)
JSONキーを生成
リストから作成したサービスアカウントをクリックし、Keys タブ → Add key → Create new key に移動します。JSON 形式を選択して Create をクリックします。キーファイルをダウンロードして安全に保管してください。
マルチプロジェクトのセットアップ
複数のGCPプロジェクトを持つ組織向け:接続詳細
| フィールド | 説明 | 例 |
|---|---|---|
| サービスアカウントキー(JSON) | 接続ダイアログにアップロードまたは貼り付けるGCPサービスアカウントキーのJSON全体 | {"type": "service_account", "project_id": "your-project-id", ...} |
必要な権限
最小(読み取り専用分析)
推奨(完全分析)
エージェントの機能
接続後、エージェントはGCPリソースの分析と最適化を実行できます。接続を確認する
プロンプト例
トラブルシューティング
権限拒否エラー
権限拒否エラー
サービスアカウントに必要なロールがあることを確認します。プロジェクトレベルのIAMバインディングを確認し、APIが有効になっていること(Compute、Monitoringなど)、JSONキーが有効で期限切れでないことを確認してください。
無効なキーファイル
無効なキーファイル
JSONファイルが完全で適切にフォーマットされていることを確認します。秘密鍵が切り詰められていないこと、余分な空白や文字が追加されていないことを確認してください。GCPコンソールからキーを再生成してみてください。
請求データがない
請求データがない
Billing Account Viewer ロールが割り当てられていることを確認します。Cloud Billing APIを有効にし、BigQueryへの請求エクスポートが設定されていることを確認してください。
GKEアクセスの問題
GKEアクセスの問題
Kubernetes Engine Viewer ロールが割り当てられていることを確認します。クラスターがアクセス可能なプロジェクトにあることを確認し、クラスターがWorkload Identityを使用しているかどうかを確認してください。
セキュリティ
- 最小権限 — エージェントがユースケースに必要な権限のみを付与します。まず読み取り専用から始め、後から拡張してください。
- デフォルトで読み取り専用 — エージェントにこの接続で変更を行わせる場合を除き、読み取り専用の認証情報を使用してください。
- 認証情報のローテーション — 通常のスケジュールに従ってキーとトークンをローテーションしてください。接続を更新すると、CloudThinker が新しい値を自動的に取得します。
- オフボーディング時に失効 — 接続を削除するか、チームメンバーが退職する際には、プロバイダー側で認証情報を無効化してください。
- プロジェクトスコープ — サービスアカウントのIAMロールを、CloudThinkerがアクセスする必要があるGCPプロジェクトのみに制限します。
- キーの保管 — サービスアカウントJSONをシークレットマネージャーに保管し、CloudThinkerへのアップロード後はローカルのコピーを削除します。
関連
AWS接続
Amazon Web Servicesを接続
Kaiエージェント
GKE向けKubernetesエージェント