Slide 1
Slide 1 text
難しいIAM
#GCPUG Shonan
20.11.14 Taisei Ito
Slide 2
Slide 2 text
自己紹介
● 伊藤 太斉(Taisei Ito)
○ @kaedemalu(Twitter, Github)
○ フューチャー株式会社
■ Technology Innovation Group / DX Unit
○ コンサルタント&インフラエンジニア
○ #GCP #Terraform
● Community
○ GCPUG Shonan Staff
○ CloudNative Days Committee
Slide 3
Slide 3 text
IAM(Role)の運用難しい
Slide 4
Slide 4 text
IAMの運用の難しいところ
● 意外と「ちょうどいい」がない
○ 必要十分なものがない
● だからといってCustom Roleも面倒
○ 追加→足りない→追加の「いたちごっこ」
● プロジェクト立ち上げのときに毎回考える問題
Slide 5
Slide 5 text
お品書き
● Primitive Role vs. Predefined Role
● Custom Role
● まとめ
Slide 6
Slide 6 text
Primitive Role vs. Predefined Role
1
Slide 7
Slide 7 text
Primitive Role
● Owner
○ ヒトにおける権限管理は最強
○ リソースは割と強め
● Editor
○ GCEのサービスアカウントについている
○ リソースについては最強(Ownerより強い)
● Viewer
○ 見るだけ、触れない(儚い)
Slide 8
Slide 8 text
Predefined Role
● プロダクトごとにきめ細かい
○ AdminからViewerまで種々いろいろ
○ Ex.) Storage Object Creator
(オブジェクトが作れる、けど見れない)
■ バッチでJSONやらログ吐き出すときに最適
Slide 9
Slide 9 text
サービス vs. ヒト
● サービスはそこまで困らない
○ 単一の機能なら最小のRoleで済む
● ヒトはいろんなもの触る
○ 随時追加するRoleが増えていく
○ 追加する側は結構しんどい
Slide 10
Slide 10 text
サービス vs. ヒト
● サービスはそこまで困らない
○ 単一の機能なら最小のRoleで済む
● ヒトはいろんなもの触る
○ 随時追加するRoleが増えていく
○ 追加する側は結構しんどい
「いいや、Editor(Owner)で」
Slide 11
Slide 11 text
サービス vs. ヒト
● サービスはそこまで困らない
○ 単一の機能なら最小のRoleで済む
● ヒトはいろんなもの触る
○ 随時追加するRoleが増えていく
○ 追加する側は結構しんどい
「いいや、Editor(Owner)で」
Slide 12
Slide 12 text
熟慮が大事
● いろいろなものの動きを考える
○ 「ヒト」は何をするのか
○ 「サービス」は何をするのか
● Primitive RoleはViewer以外使わない
Slide 13
Slide 13 text
Custom Role
2
Slide 14
Slide 14 text
Custom Role
● 必要なものを必要なだけ追加してRoleとして固める
○ 複数プロジェクトで同じものが必要なとき
○ 都度いちいちつけるのが大変なとき
Slide 15
Slide 15 text
運用の大変さ
● 自動更新されない
○ 最新のサービスに追従できない
○ Custom Roleに加えてPredefined Roleも使うハメに
● 複数作るとさらに大変
Slide 16
Slide 16 text
使い所(?)
● そもそも全プロダクト横断で使うべきではない
○ 管理ができない、更新もできない
● 小さい粒度で組むカスタムロールは効果的
(かもしれない)
Slide 17
Slide 17 text
まとめ
3
Slide 18
Slide 18 text
まとめ(確認すること)
● ヒトに加えるRoleは最初に綿密なヒアリング
○ どのサービスをどのレベルまで使うか
● 開発サービスはどんな機能なのか
○ どのマネージドを使うかちゃんと考える
● カスタムロールはできるだけ使わないに倒したい
○ 将来的に苦しむ(可能性が高い)
Slide 19
Slide 19 text
まとめ(確認すること)
● ヒトに加えるRoleは最初に綿密なヒアリング
○ どのサービスをどのレベルまで使うか
● 開発サービスはどんな機能なのか
○ どのマネージドを使うかちゃんと考える
● カスタムロールはできるだけ使わないに倒したい
○ 将来的に苦しむ(可能性が高い)
はじめが肝心
Slide 20
Slide 20 text
宣伝
4
Slide 21
Slide 21 text
フューチャーについて
● 大崎にあるITコンサル会社
● 経営戦略から実装、運用までを全てこなす
● ベンダーニュートラルの考え方
● 「ないものは作る」
Slide 22
Slide 22 text
こんな人がいます
● Real World HTTPの著者
● Vue.jsのコミッター
● Apache Software Foundationのボードメンバー
● OSS「Vuls」の作成者
Slide 23
Slide 23 text
ブログも出しています
Slide 24
Slide 24 text
fin.