CyberAgent AI Lab 研修：Google Cloud - IAM&Admin

Transcript

1. CyberAgent AI Lab 研修： Google Cloud - IAM&Admin 株式会社サイバーエージェント AI

   Lab

2. 2 本日のコンテンツ IAMとは？ 01 認証と認可 02 まとめ 03

3. 3 IAMとは？ 01

4. - Principal / Role / Policy IAMの基本構成 Policy Role principal

   https://cloud.google.com/iam/docs/overview?hl=ja

5. - Principal ? - アカウントのことです - [email protected] - [email protected] -

   [email protected] - [email protected] - これがあって初めて権限を付与することになります Principalとは

6. - Role ? - 権限です - roles/viewer - e.g. Storage

   Viewer - roles/editor - e.g. Bigquery Editor - roles/owner - ほぼ全て - さらに細かく設定できるものもある(事前定義ロール/カスタムロール) Roleとは

7. - Policy ? - Principal * Role の組み合わせ [email protected] +

   Vertex AI User Policyとは

8. - 弊社のプロジェクトにおいての例 - Basic / Resource Manager [email protected] + AI

   Lab Basic - storage.buckets.create - compute.instances.start - … AI Lab Resource Manager - iam.roles.create - billing.resourceCosts.get - … [email protected] + AILabの例

9. - IAM Admin Role について注意 ⚠ - IAMを自由にいじれます。ということは... - （ほぼ）なんでもできます

   - 従って、一定の責任とれる人以外には付与すべきではありません - 顧客情報の漏洩などはだいたいこのあたりから発生する - 権限追加の申請フローがあるのはこのためです - 自由度が必要な場合もあり、作業効率観点からも適切な方法を模索中... ！注意点！

10. 10 認証と認可 02

11. 認証と認可の違い - 認証(Authentication) - ユーザーがXXであるか確かめる - 認可(Authorization) - 特定のリソースに対するアクセス権限を与える https://zenn.dev/counterworks/articles/142b9b64f8cd2d

    気になる人向け

12. Google Cloud での許可ポリシーの仕組み

13. どうやって動いているのか - どうやって動くの？ - まず2つの違い - ① gcloud auth login

    - gcloud, gsutil, bq, cbt … (for CLI) - ~/.config/gcloud/credentials.db に格納 - ② gcloud auth application-default login - Python Bigquery Client … (for SDK) - ~/.config/gcloud/application_default_credentials.json に格納 - 今回は ML Platform などのPythonアプリケーションでの活用なので②

14. ユーザーアカウント - ユーザーアカウントでは、gcloudで認証し、認可されたサービスにアクセス kasuga_akira @cyberagent.co.jp gcloud auth application-default login application_default_credentials.json

    ※一定時間経過後に失効 Identity & Access Management BigQuery Cloud Storage × 認証 認可

15. サービスアカウント - サービスアカウントの場合 [email protected] (Compute Engine default service account) Identity

    & Access Management BigQuery Cloud Storage Compute Engine ※発行したサービスアカウントに よりますが、かなり強力な権限が 使用されていることが多いです 人手では不要 認可

16. 実際のProduction環境での例 承認 チェック VPNやFirewallに頼ることなくアプ リケーションレベルで制御可能！ よくあるこの画面（認証） 承認されたRequestのみ アプリケーションに通る

17. 17 まとめ 03

18. - IAMとは - Principal / Role / Policy で構成される権限の管理方法 -

    e.g.) [email protected] + AILab Basic Role - 認証と認可 - 認証：ユーザーがXXであることを確かめる - 認可：特定のリソースに対するアクセス権限を与える - 最後に - 正しい権限管理を行うことは業務として重要です！ まとめ