Cloud Function の `oidc-service-account-email` が必要とするService Account のロール

<p>きちんと調べずに使っていたのでメモ</p>
<p>Cloud Function は public アクセスを許可しないで、サービスアカウントからのアクセスのみ許可する設定ができる。
具体的には <code>--allow-unauthenticated=false</code> として関数をデプロイすると認証が必要になる。</p>
<p>認証が必要になっている関数にアクセスするには Open ID Connect で発行したトークンが必要になるが、Cloud Task などで関数にリクエストさせる場合は <code>--oidc-service-account-email</code> オプションなどをつけて、「どのサービスアカウントで関数にアクセスするか」を指示する必要がある。</p>
<p>もちろん指定するサービスアカウントはなんでもいいわけではなくて、<code>function.invoker</code> ロールがついている必要がある。</p>
<h2>参考</h2>
<ul>
<li><a href="https://cloud.google.com/functions/docs/reference/iam/roles#cloudfunctions.invoker">cloudfunctions.invoker | Cloud Functions IAM Roles  |  Cloud Functions Documentation  |  Google Cloud</a></li>
<li><a href="https://cloud.google.com/tasks/docs/creating-http-target-tasks">HTTP Target タスクの作成  |  Cloud Tasks のドキュメント  |  Google Cloud</a></li>
<li><a href="https://medium.com/google-cloud-jp/gcp-%E3%81%8B%E3%82%89%E3%81%AE-http-%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%82%92%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%81%AB%E8%AA%8D%E8%A8%BC%E3%81%99%E3%82%8B-dda4933afcd6">GCP からの HTTP リクエストをセキュアに認証する. はじめに | by Yuki Furuyama | google-cloud-jp | Medium</a></li>
</ul>
