Slide 1

Slide 1 text

難しいIAM #GCPUG Shonan 20.11.14 Taisei Ito

Slide 2

Slide 2 text

自己紹介 ● 伊藤 太斉(Taisei Ito) ○ @kaedemalu(Twitter, Github) ○ フューチャー株式会社 ■ Technology Innovation Group / DX Unit ○ コンサルタント&インフラエンジニア ○ #GCP #Terraform ● Community ○ GCPUG Shonan Staff ○ CloudNative Days Committee

Slide 3

Slide 3 text

IAM(Role)の運用難しい

Slide 4

Slide 4 text

IAMの運用の難しいところ ● 意外と「ちょうどいい」がない ○ 必要十分なものがない ● だからといってCustom Roleも面倒 ○ 追加→足りない→追加の「いたちごっこ」 ● プロジェクト立ち上げのときに毎回考える問題

Slide 5

Slide 5 text

お品書き ● Primitive Role vs. Predefined Role ● Custom Role ● まとめ

Slide 6

Slide 6 text

Primitive Role vs. Predefined Role 1

Slide 7

Slide 7 text

Primitive Role ● Owner ○ ヒトにおける権限管理は最強 ○ リソースは割と強め ● Editor ○ GCEのサービスアカウントについている ○ リソースについては最強(Ownerより強い) ● Viewer ○ 見るだけ、触れない(儚い)

Slide 8

Slide 8 text

Predefined Role ● プロダクトごとにきめ細かい ○ AdminからViewerまで種々いろいろ ○ Ex.) Storage Object Creator (オブジェクトが作れる、けど見れない) ■ バッチでJSONやらログ吐き出すときに最適

Slide 9

Slide 9 text

サービス vs. ヒト ● サービスはそこまで困らない ○ 単一の機能なら最小のRoleで済む ● ヒトはいろんなもの触る ○ 随時追加するRoleが増えていく ○ 追加する側は結構しんどい

Slide 10

Slide 10 text

サービス vs. ヒト ● サービスはそこまで困らない ○ 単一の機能なら最小のRoleで済む ● ヒトはいろんなもの触る ○ 随時追加するRoleが増えていく ○ 追加する側は結構しんどい 「いいや、Editor(Owner)で」

Slide 11

Slide 11 text

サービス vs. ヒト ● サービスはそこまで困らない ○ 単一の機能なら最小のRoleで済む ● ヒトはいろんなもの触る ○ 随時追加するRoleが増えていく ○ 追加する側は結構しんどい 「いいや、Editor(Owner)で」

Slide 12

Slide 12 text

熟慮が大事 ● いろいろなものの動きを考える ○ 「ヒト」は何をするのか ○ 「サービス」は何をするのか ● Primitive RoleはViewer以外使わない

Slide 13

Slide 13 text

Custom Role 2

Slide 14

Slide 14 text

Custom Role ● 必要なものを必要なだけ追加してRoleとして固める ○ 複数プロジェクトで同じものが必要なとき ○ 都度いちいちつけるのが大変なとき

Slide 15

Slide 15 text

運用の大変さ ● 自動更新されない ○ 最新のサービスに追従できない ○ Custom Roleに加えてPredefined Roleも使うハメに ● 複数作るとさらに大変

Slide 16

Slide 16 text

使い所(?) ● そもそも全プロダクト横断で使うべきではない ○ 管理ができない、更新もできない ● 小さい粒度で組むカスタムロールは効果的 (かもしれない)

Slide 17

Slide 17 text

まとめ 3

Slide 18

Slide 18 text

まとめ(確認すること) ● ヒトに加えるRoleは最初に綿密なヒアリング ○ どのサービスをどのレベルまで使うか ● 開発サービスはどんな機能なのか ○ どのマネージドを使うかちゃんと考える ● カスタムロールはできるだけ使わないに倒したい ○ 将来的に苦しむ(可能性が高い)

Slide 19

Slide 19 text

まとめ(確認すること) ● ヒトに加えるRoleは最初に綿密なヒアリング ○ どのサービスをどのレベルまで使うか ● 開発サービスはどんな機能なのか ○ どのマネージドを使うかちゃんと考える ● カスタムロールはできるだけ使わないに倒したい ○ 将来的に苦しむ(可能性が高い) はじめが肝心

Slide 20

Slide 20 text

宣伝 4

Slide 21

Slide 21 text

フューチャーについて ● 大崎にあるITコンサル会社 ● 経営戦略から実装、運用までを全てこなす ● ベンダーニュートラルの考え方 ● 「ないものは作る」

Slide 22

Slide 22 text

こんな人がいます ● Real World HTTPの著者 ● Vue.jsのコミッター ● Apache Software Foundationのボードメンバー ● OSS「Vuls」の作成者

Slide 23

Slide 23 text

ブログも出しています

Slide 24

Slide 24 text

fin.