Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CyberAgent AI Lab 研修:Google Cloud - IAM&Admin
Search
kargo113
March 14, 2025
0
850
CyberAgent AI Lab 研修:Google Cloud - IAM&Admin
AILab で実施された研修 "Google Cloud - IAM&Admin" の資料です
kargo113
March 14, 2025
Tweet
Share
More Decks by kargo113
See All by kargo113
Gemini の Structured Output を活用したクラウド設計支援システム
kargo113
0
59
History of the ML system in KARTE
kargo113
1
2.4k
LightMLOps using Vertex Workbench
kargo113
1
1.6k
10billion user analytics architecture using BigQuery
kargo113
1
2.4k
GoogleCloudDayDigital PLAID MLPipeline On AIPlatform
kargo113
0
3.4k
Featured
See All Featured
Measuring & Analyzing Core Web Vitals
bluesmoon
7
510
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
48
2.9k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
31
1.3k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
2.9k
Build The Right Thing And Hit Your Dates
maggiecrowley
36
2.8k
How GitHub (no longer) Works
holman
314
140k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
50
5.5k
Building Flexible Design Systems
yeseniaperezcruz
328
39k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
830
Side Projects
sachag
455
42k
The World Runs on Bad Software
bkeepers
PRO
69
11k
Transcript
CyberAgent AI Lab 研修: Google Cloud - IAM&Admin 株式会社サイバーエージェント AI
Lab
2 本日のコンテンツ IAMとは? 01 認証と認可 02 まとめ 03
3 IAMとは? 01
- Principal / Role / Policy IAMの基本構成 Policy Role principal
https://cloud.google.com/iam/docs/overview?hl=ja
- Principal ? - アカウントのことです -
[email protected]
-
[email protected]
-
[email protected]
-
[email protected]
- これがあって初めて権限を付与することになります Principalとは
- Role ? - 権限です - roles/viewer - e.g. Storage
Viewer - roles/editor - e.g. Bigquery Editor - roles/owner - ほぼ全て - さらに細かく設定できるものもある(事前定義ロール/カスタムロール) Roleとは
- Policy ? - Principal * Role の組み合わせ
[email protected]
+
Vertex AI User Policyとは
- 弊社のプロジェクトにおいての例 - Basic / Resource Manager
[email protected]
+ AI
Lab Basic - storage.buckets.create - compute.instances.start - … AI Lab Resource Manager - iam.roles.create - billing.resourceCosts.get - …
[email protected]
+ AILabの例
- IAM Admin Role について注意 ⚠ - IAMを自由にいじれます。ということは... - (ほぼ)なんでもできます
- 従って、一定の責任とれる人以外には付与すべきではありません - 顧客情報の漏洩などはだいたいこのあたりから発生する - 権限追加の申請フローがあるのはこのためです - 自由度が必要な場合もあり、作業効率観点からも適切な方法を模索中... !注意点!
10 認証と認可 02
認証と認可の違い - 認証(Authentication) - ユーザーがXXであるか確かめる - 認可(Authorization) - 特定のリソースに対するアクセス権限を与える https://zenn.dev/counterworks/articles/142b9b64f8cd2d
気になる人向け
Google Cloud での許可ポリシーの仕組み
どうやって動いているのか - どうやって動くの? - まず2つの違い - ① gcloud auth login
- gcloud, gsutil, bq, cbt … (for CLI) - ~/.config/gcloud/credentials.db に格納 - ② gcloud auth application-default login - Python Bigquery Client … (for SDK) - ~/.config/gcloud/application_default_credentials.json に格納 - 今回は ML Platform などのPythonアプリケーションでの活用なので②
ユーザーアカウント - ユーザーアカウントでは、gcloudで認証し、認可されたサービスにアクセス kasuga_akira @cyberagent.co.jp gcloud auth application-default login application_default_credentials.json
※一定時間経過後に失効 Identity & Access Management BigQuery Cloud Storage × 認証 認可
サービスアカウント - サービスアカウントの場合
[email protected]
(Compute Engine default service account) Identity
& Access Management BigQuery Cloud Storage Compute Engine ※発行したサービスアカウントに よりますが、かなり強力な権限が 使用されていることが多いです 人手では不要 認可
実際のProduction環境での例 承認 チェック VPNやFirewallに頼ることなくアプ リケーションレベルで制御可能! よくあるこの画面(認証) 承認されたRequestのみ アプリケーションに通る
17 まとめ 03
- IAMとは - Principal / Role / Policy で構成される権限の管理方法 -
e.g.)
[email protected]
+ AILab Basic Role - 認証と認可 - 認証:ユーザーがXXであることを確かめる - 認可:特定のリソースに対するアクセス権限を与える - 最後に - 正しい権限管理を行うことは業務として重要です! まとめ