Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up
for free
20201114 GCPUG Shonan
Taisei Ito
November 14, 2020
Technology
0
100
20201114 GCPUG Shonan
Taisei Ito
November 14, 2020
Tweet
Share
More Decks by Taisei Ito
See All by Taisei Ito
kaedemalu
0
310
kaedemalu
0
21
kaedemalu
0
31
kaedemalu
1
120
kaedemalu
1
630
kaedemalu
0
480
kaedemalu
0
220
kaedemalu
0
60
kaedemalu
4
5.6k
Other Decks in Technology
See All in Technology
mmarukaw
0
1.9k
willnet
12
4.1k
kawaguti
2
420
ihcomega56
1
540
gobeyond20xx
0
180
azara
1
880
eayedi
2
140
oracle4engineer
0
3.6k
you
0
280
ocise
1
1.8k
gamella
3
1.4k
ayanadesu
0
380
Featured
See All Featured
colly
188
14k
caitiem20
308
17k
roundedbygravity
84
7.9k
paulrobertlloyd
71
3.6k
tammielis
237
23k
deanohume
294
28k
carmenhchung
31
1.5k
malarkey
119
16k
myddelton
109
11k
eitanlees
112
10k
kneath
219
15k
productmarketing
6
720
Transcript
難しいIAM #GCPUG Shonan 20.11.14 Taisei Ito
自己紹介 • 伊藤 太斉(Taisei Ito) ◦ @kaedemalu(Twitter, Github) ◦ フューチャー株式会社
▪ Technology Innovation Group / DX Unit ◦ コンサルタント&インフラエンジニア ◦ #GCP #Terraform • Community ◦ GCPUG Shonan Staff ◦ CloudNative Days Committee
IAM(Role)の運用難しい
IAMの運用の難しいところ • 意外と「ちょうどいい」がない ◦ 必要十分なものがない • だからといってCustom Roleも面倒 ◦ 追加→足りない→追加の「いたちごっこ」
• プロジェクト立ち上げのときに毎回考える問題
お品書き • Primitive Role vs. Predefined Role • Custom Role
• まとめ
Primitive Role vs. Predefined Role 1
Primitive Role • Owner ◦ ヒトにおける権限管理は最強 ◦ リソースは割と強め • Editor
◦ GCEのサービスアカウントについている ◦ リソースについては最強(Ownerより強い) • Viewer ◦ 見るだけ、触れない(儚い)
Predefined Role • プロダクトごとにきめ細かい ◦ AdminからViewerまで種々いろいろ ◦ Ex.) Storage Object
Creator (オブジェクトが作れる、けど見れない) ▪ バッチでJSONやらログ吐き出すときに最適
サービス vs. ヒト • サービスはそこまで困らない ◦ 単一の機能なら最小のRoleで済む • ヒトはいろんなもの触る ◦
随時追加するRoleが増えていく ◦ 追加する側は結構しんどい
サービス vs. ヒト • サービスはそこまで困らない ◦ 単一の機能なら最小のRoleで済む • ヒトはいろんなもの触る ◦
随時追加するRoleが増えていく ◦ 追加する側は結構しんどい 「いいや、Editor(Owner)で」
サービス vs. ヒト • サービスはそこまで困らない ◦ 単一の機能なら最小のRoleで済む • ヒトはいろんなもの触る ◦
随時追加するRoleが増えていく ◦ 追加する側は結構しんどい 「いいや、Editor(Owner)で」
熟慮が大事 • いろいろなものの動きを考える ◦ 「ヒト」は何をするのか ◦ 「サービス」は何をするのか • Primitive RoleはViewer以外使わない
Custom Role 2
Custom Role • 必要なものを必要なだけ追加してRoleとして固める ◦ 複数プロジェクトで同じものが必要なとき ◦ 都度いちいちつけるのが大変なとき
運用の大変さ • 自動更新されない ◦ 最新のサービスに追従できない ◦ Custom Roleに加えてPredefined Roleも使うハメに •
複数作るとさらに大変
使い所(?) • そもそも全プロダクト横断で使うべきではない ◦ 管理ができない、更新もできない • 小さい粒度で組むカスタムロールは効果的 (かもしれない)
まとめ 3
まとめ(確認すること) • ヒトに加えるRoleは最初に綿密なヒアリング ◦ どのサービスをどのレベルまで使うか • 開発サービスはどんな機能なのか ◦ どのマネージドを使うかちゃんと考える •
カスタムロールはできるだけ使わないに倒したい ◦ 将来的に苦しむ(可能性が高い)
まとめ(確認すること) • ヒトに加えるRoleは最初に綿密なヒアリング ◦ どのサービスをどのレベルまで使うか • 開発サービスはどんな機能なのか ◦ どのマネージドを使うかちゃんと考える •
カスタムロールはできるだけ使わないに倒したい ◦ 将来的に苦しむ(可能性が高い) はじめが肝心
宣伝 4
フューチャーについて • 大崎にあるITコンサル会社 • 経営戦略から実装、運用までを全てこなす • ベンダーニュートラルの考え方 • 「ないものは作る」
こんな人がいます • Real World HTTPの著者 • Vue.jsのコミッター • Apache Software
Foundationのボードメンバー • OSS「Vuls」の作成者
ブログも出しています
fin.