Cloud Run から GCS の Signed URL を生成する際に必要な IAM 権限の設定方法。

エラー内容： Permission 'iam.serviceAccounts.signBlob' denied on resource

解決方法：

resource "google_service_account_iam_member" "app_token_creator" {
  service_account_id = google_service_account.app.name
  role               = "roles/iam.serviceAccountTokenCreator"
  member             = "serviceAccount:${google_service_account.app.email}"
}

このリソースを追加することで、サービスアカウントが自分自身に対して Signed URL を生成できるようになる。権限は即座に反映されるため、アプリケーションの再デプロイは不要。