Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CyberAgent AI Lab 研修:Google Cloud - IAM&Admin
Search
kargo113
March 14, 2025
0
830
CyberAgent AI Lab 研修:Google Cloud - IAM&Admin
AILab で実施された研修 "Google Cloud - IAM&Admin" の資料です
kargo113
March 14, 2025
Tweet
Share
More Decks by kargo113
See All by kargo113
Gemini の Structured Output を活用したクラウド設計支援システム
kargo113
0
42
History of the ML system in KARTE
kargo113
1
2.4k
LightMLOps using Vertex Workbench
kargo113
1
1.5k
10billion user analytics architecture using BigQuery
kargo113
1
2.4k
GoogleCloudDayDigital PLAID MLPipeline On AIPlatform
kargo113
0
3.4k
Featured
See All Featured
The Art of Programming - Codeland 2020
erikaheidi
54
13k
Unsuck your backbone
ammeep
671
58k
Music & Morning Musume
bryan
46
6.6k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
357
30k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.7k
Optimizing for Happiness
mojombo
379
70k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
The Invisible Side of Design
smashingmag
299
51k
Reflections from 52 weeks, 52 projects
jeffersonlam
350
20k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.3k
How to Think Like a Performance Engineer
csswizardry
24
1.7k
Testing 201, or: Great Expectations
jmmastey
42
7.5k
Transcript
CyberAgent AI Lab 研修: Google Cloud - IAM&Admin 株式会社サイバーエージェント AI
Lab
2 本日のコンテンツ IAMとは? 01 認証と認可 02 まとめ 03
3 IAMとは? 01
- Principal / Role / Policy IAMの基本構成 Policy Role principal
https://cloud.google.com/iam/docs/overview?hl=ja
- Principal ? - アカウントのことです -
[email protected]
-
[email protected]
-
[email protected]
-
[email protected]
- これがあって初めて権限を付与することになります Principalとは
- Role ? - 権限です - roles/viewer - e.g. Storage
Viewer - roles/editor - e.g. Bigquery Editor - roles/owner - ほぼ全て - さらに細かく設定できるものもある(事前定義ロール/カスタムロール) Roleとは
- Policy ? - Principal * Role の組み合わせ
[email protected]
+
Vertex AI User Policyとは
- 弊社のプロジェクトにおいての例 - Basic / Resource Manager
[email protected]
+ AI
Lab Basic - storage.buckets.create - compute.instances.start - … AI Lab Resource Manager - iam.roles.create - billing.resourceCosts.get - …
[email protected]
+ AILabの例
- IAM Admin Role について注意 ⚠ - IAMを自由にいじれます。ということは... - (ほぼ)なんでもできます
- 従って、一定の責任とれる人以外には付与すべきではありません - 顧客情報の漏洩などはだいたいこのあたりから発生する - 権限追加の申請フローがあるのはこのためです - 自由度が必要な場合もあり、作業効率観点からも適切な方法を模索中... !注意点!
10 認証と認可 02
認証と認可の違い - 認証(Authentication) - ユーザーがXXであるか確かめる - 認可(Authorization) - 特定のリソースに対するアクセス権限を与える https://zenn.dev/counterworks/articles/142b9b64f8cd2d
気になる人向け
Google Cloud での許可ポリシーの仕組み
どうやって動いているのか - どうやって動くの? - まず2つの違い - ① gcloud auth login
- gcloud, gsutil, bq, cbt … (for CLI) - ~/.config/gcloud/credentials.db に格納 - ② gcloud auth application-default login - Python Bigquery Client … (for SDK) - ~/.config/gcloud/application_default_credentials.json に格納 - 今回は ML Platform などのPythonアプリケーションでの活用なので②
ユーザーアカウント - ユーザーアカウントでは、gcloudで認証し、認可されたサービスにアクセス kasuga_akira @cyberagent.co.jp gcloud auth application-default login application_default_credentials.json
※一定時間経過後に失効 Identity & Access Management BigQuery Cloud Storage × 認証 認可
サービスアカウント - サービスアカウントの場合
[email protected]
(Compute Engine default service account) Identity
& Access Management BigQuery Cloud Storage Compute Engine ※発行したサービスアカウントに よりますが、かなり強力な権限が 使用されていることが多いです 人手では不要 認可
実際のProduction環境での例 承認 チェック VPNやFirewallに頼ることなくアプ リケーションレベルで制御可能! よくあるこの画面(認証) 承認されたRequestのみ アプリケーションに通る
17 まとめ 03
- IAMとは - Principal / Role / Policy で構成される権限の管理方法 -
e.g.)
[email protected]
+ AILab Basic Role - 認証と認可 - 認証:ユーザーがXXであることを確かめる - 認可:特定のリソースに対するアクセス権限を与える - 最後に - 正しい権限管理を行うことは業務として重要です! まとめ
kargo113
erikaheidi
ammeep
bryan
bermonpainter
danielanewman
mojombo
chriscoyier
smashingmag
jeffersonlam
philnash
csswizardry
jmmastey
![- Principal ? - アカウントのことです - [email protected] - [email protected] -](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_4.jpg){kind=link}
![- Policy ? - Principal * Role の組み合わせ [email protected] +](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_6.jpg){kind=link}
![- 弊社のプロジェクトにおいての例 - Basic / Resource Manager [email protected] + AI](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_7.jpg){kind=link}
![サービスアカウント - サービスアカウントの場合 [email protected] (Compute Engine default service account) Identity](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_14.jpg){kind=link}
