20201114 GCPUG Shonan
by
Taisei Ito
Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
難しいIAM #GCPUG Shonan 20.11.14 Taisei Ito
Slide 2
Slide 2 text
自己紹介 ● 伊藤 太斉(Taisei Ito) ○ @kaedemalu(Twitter, Github) ○ フューチャー株式会社 ■ Technology Innovation Group / DX Unit ○ コンサルタント&インフラエンジニア ○ #GCP #Terraform ● Community ○ GCPUG Shonan Staff ○ CloudNative Days Committee
Slide 3
Slide 3 text
IAM(Role)の運用難しい
Slide 4
Slide 4 text
IAMの運用の難しいところ ● 意外と「ちょうどいい」がない ○ 必要十分なものがない ● だからといってCustom Roleも面倒 ○ 追加→足りない→追加の「いたちごっこ」 ● プロジェクト立ち上げのときに毎回考える問題
Slide 5
Slide 5 text
お品書き ● Primitive Role vs. Predefined Role ● Custom Role ● まとめ
Slide 6
Slide 6 text
Primitive Role vs. Predefined Role 1
Slide 7
Slide 7 text
Primitive Role ● Owner ○ ヒトにおける権限管理は最強 ○ リソースは割と強め ● Editor ○ GCEのサービスアカウントについている ○ リソースについては最強(Ownerより強い) ● Viewer ○ 見るだけ、触れない(儚い)
Slide 8
Slide 8 text
Predefined Role ● プロダクトごとにきめ細かい ○ AdminからViewerまで種々いろいろ ○ Ex.) Storage Object Creator (オブジェクトが作れる、けど見れない) ■ バッチでJSONやらログ吐き出すときに最適
Slide 9
Slide 9 text
サービス vs. ヒト ● サービスはそこまで困らない ○ 単一の機能なら最小のRoleで済む ● ヒトはいろんなもの触る ○ 随時追加するRoleが増えていく ○ 追加する側は結構しんどい
Slide 10
Slide 10 text
サービス vs. ヒト ● サービスはそこまで困らない ○ 単一の機能なら最小のRoleで済む ● ヒトはいろんなもの触る ○ 随時追加するRoleが増えていく ○ 追加する側は結構しんどい 「いいや、Editor(Owner)で」
Slide 11
Slide 11 text
サービス vs. ヒト ● サービスはそこまで困らない ○ 単一の機能なら最小のRoleで済む ● ヒトはいろんなもの触る ○ 随時追加するRoleが増えていく ○ 追加する側は結構しんどい 「いいや、Editor(Owner)で」
Slide 12
Slide 12 text
熟慮が大事 ● いろいろなものの動きを考える ○ 「ヒト」は何をするのか ○ 「サービス」は何をするのか ● Primitive RoleはViewer以外使わない
Slide 13
Slide 13 text
Custom Role 2
Slide 14
Slide 14 text
Custom Role ● 必要なものを必要なだけ追加してRoleとして固める ○ 複数プロジェクトで同じものが必要なとき ○ 都度いちいちつけるのが大変なとき
Slide 15
Slide 15 text
運用の大変さ ● 自動更新されない ○ 最新のサービスに追従できない ○ Custom Roleに加えてPredefined Roleも使うハメに ● 複数作るとさらに大変
Slide 16
Slide 16 text
使い所(?) ● そもそも全プロダクト横断で使うべきではない ○ 管理ができない、更新もできない ● 小さい粒度で組むカスタムロールは効果的 (かもしれない)
Slide 17
Slide 17 text
まとめ 3
Slide 18
Slide 18 text
まとめ(確認すること) ● ヒトに加えるRoleは最初に綿密なヒアリング ○ どのサービスをどのレベルまで使うか ● 開発サービスはどんな機能なのか ○ どのマネージドを使うかちゃんと考える ● カスタムロールはできるだけ使わないに倒したい ○ 将来的に苦しむ(可能性が高い)
Slide 19
Slide 19 text
まとめ(確認すること) ● ヒトに加えるRoleは最初に綿密なヒアリング ○ どのサービスをどのレベルまで使うか ● 開発サービスはどんな機能なのか ○ どのマネージドを使うかちゃんと考える ● カスタムロールはできるだけ使わないに倒したい ○ 将来的に苦しむ(可能性が高い) はじめが肝心
Slide 20
Slide 20 text
宣伝 4
Slide 21
Slide 21 text
フューチャーについて ● 大崎にあるITコンサル会社 ● 経営戦略から実装、運用までを全てこなす ● ベンダーニュートラルの考え方 ● 「ないものは作る」
Slide 22
Slide 22 text
こんな人がいます ● Real World HTTPの著者 ● Vue.jsのコミッター ● Apache Software Foundationのボードメンバー ● OSS「Vuls」の作成者
Slide 23
Slide 23 text
ブログも出しています
Slide 24
Slide 24 text
fin.