マルチクラウドで認証したい ～CloudRunと.NET8 Blazor ServerでAzure Open AIをセキュアに呼び出す～

Transcript

1. マルチクラウドで認証したい ～CloudRunと.NET8 Blazor ServerでAzure Open AIをセキュアに呼び出す～ 1

2. • 自己紹介 • 宣伝 • 前提知識 ◦ 認証・認可とは • 認証・認可の用途

   ◦ どういう用途で使う？ • Google Cloudの認証・認可 ◦ 基礎知識 ◦ Google Cloudリソースへの認証1 ◦ Google Cloudリソースへの認証2 ◦ 外部IDを使って認証する ◦ Google CloudにおけるID統合 ◦ Google Cloudの認証・認可 ◦ Google アカウントとGoogle Cloud アカウント • 主要なMicrosoftの認証（使うものに厳選して紹介 話すこと 2 • デモ • AWSの認証・認可 ◦ AWSリソースへの認証・認可1 ◦ AWSリソースへの認証・認可2 ◦ AWSアカウントの制御 ◦ 補足：AWS Builder ID • まとめ • Tips（ここは話さない）

3. 自己紹介 3 Kento.Yamada • クラウドの運用分析・MSP向けのシステム開発 • github＠ymd65536 • Microsoft MVP

   for Developer Technologies（2024年４月〜） new!!

4. 宣伝 4 技術書典16に出典します！ PagerDutyを使っている7人が思いのたけをぶちまけた作品！ 明日（2024年05月26日）に発売されます。電子もあるYo PagerDuty FANBOOK Vol.1

5. 今回やりたいこと Azure以外からAzureのサービスを呼び出したい ので クラウドで用意された認証認可を上手いこと使って実現したい！ 5

6. 前提知識 6

7. 認証・認可とは 7 認証：システム・リソース利用に必要な本人確認 認可：システム・リソースの操作に対する権限

8. 認証・認可とは 8 認証：部屋には入っていいけど、部屋のモノには触らんといて！ 認可：モノによっては触ってもいいよ。（ただし許可したモノだけね！）

9. 認証・認可とは 9 認証：Azureへのログイン 認可：Azureのサービスを利用できるかどうか（ポリシーで定義）

10. 認証・認可の用途 10

11. どういう用途で使う？ 11 クラウドでは標準になっている。その一方で使い方で役割が変わる！ • 社内アカウントの管理（情シスっぽい話） ◦ ex) 社内資料へのアクセス ◦ ex)

    デバイスアクセス（MDM） • インフラの管理（エンジニアっぽい話） ◦ ex) Webアプリケーションで特定のデータベースにアクセス ◦ ex) マネジメントコンソールからリソースにアクセス

12. どういう用途で使う？ 12 クラウドでは標準になっている。その一方で使い方で役割が変わる！ • 社内アカウントの管理（情シスっぽい話） ◦ ex) 社内資料へのアクセス ◦ ex)

    デバイスアクセス（MDM） • インフラの管理（エンジニアっぽい話） ◦ ex) Webアプリケーションで特定のデータベースにアクセス ◦ ex) マネジメントコンソールからリソースにアクセス

13. Google Cloudの認証・認可 13

14. Google Cloudの認証・認可（基礎知識） 14 認証・認可でいうと、えげつないくらいある！ • API キー • OAuth クライアント

    ID • ユーザー アカウントまたはサービス アカウント • トークン • Firebase Authentication • Identity Platform • Identity-Aware Proxy • Workload IdentityとWorkforce Identity • Cloud Identity • Identity and Access Management

15. 補足：GoogleアカウントとGoogle Cloud アカウント 根本的に異なるもの • Google = Googleアカウント（今回使うもの） • Google

    Cloud = Google Cloudアカウント（今回使うもの） • Google Workspace = Google Workspaceアカウント Google CloudはGoogle アカウントかGoogle Workspaceアカウントがあれば使える！ 15

16. Google Cloudリソースへの認証1 16 • Firebase Authentication ◦ Firebaseプラットフォームにおける認証 ◦ FirebaseはGoogleに買収されているため、Googleの認証機能として数える

    • Identity Platform ◦ Google Cloudにおける認証サービス ◦ なんだけども、実はSDKレベルで見るとFirebaseとほぼ同じ ◦ Firebaseの上位互換のような存在

17. Google Cloudリソースへの認証2 17 • Identity-Aware Proxy（IAP） ◦ 認証用リバースプロキシみたいなもの ◦ 社内ユーザに限定してアプリケーションを展開したい時に利用できる

    コイツがあれば、踏み台サーバはいらない（コイツいうな！）

18. 外部IDを使って認証する 外部IDを使ってGoogle Cloudリソースへのアクセスを許可 • Workforce Identity ◦ サービスとして紹介されている • Workload

    Identity ◦ Google のIAMがもつ1つの機能として解説されている • Cloud Identity ◦ IDaaS、ID統合なので認証は外部 外部IDというとたとえば、Microsoft Entra IDとの連携 18

19. 外部IDを使って認証する 19 https://cloud.google.com/architecture/identity/federating-gcp-with-azure-active-directory?hl=ja AzureのテナントまるごとGoogle CloudのWorkloadIdentityで繋いで使っても良い。 →とはいえ、個人で小さく開発したいという用途ではちょっとやりすぎかも

20. Google Cloudの認証・認可 20 • Google Cloudの認証およびリソース操作に関する制御 ◦ Identity and Access

    Management（IAM） 今回はCloudRunと他のサービスアクセスで利用します。 ポリシー名の言い回しはわりとAzureに近しいものを感じる。 例：⚪⚪⚪管理者、⚪⚪⚪閲覧者など

21. 主要なMicrosoftの認証 • Microsoft Entra ID • Active Directory(AD) Azure AD＝Microsoft

    Entra ID という解釈でOK！ なお、Azureサービスの呼び出しにはManaged IDを利用（推奨） ※細かいことを言うとたくさんあるけど、趣旨がズレるので割愛 21 今回はAzureの「アプリの登録」を使っています。

22. 構成図 22 Artifact Registry Cloud Run Blazor Server Cloud Monitoring

    Microsoft Azure Secret Manager ログチェック シークレットの登録 イメージのプッシュ シークレットの参照 イメージのプル マネージドIDを呼び出し Google認証

23. デモ 23

24. 補足：CloudRunとAzureの認証 CloudRunにAzureのデフォルトクレデンシャルを読み込ませる 👉CloudRunがAzureの資格情報を引き受けてAzureにアクセス 👉CloudRunから届いたアクセスを認証する（認証情報を検証する） 👉認証されたアクセスにどのような認可があるかをチェックする 👉認可された認証でAzure Open AIにアクセスする 24

25. 25 AWSの認証認可には何がある？ おまけ

26. AWSの認証・認可 26 今回は説明だけに留めておくよ！

27. AWSリソースへの認証・認可1 • AWSの認証およびリソース操作に関する制御 ◦ Identity and Access Management（IAM） AWS IAMでは主に3つの分け方がある(振り返り)

    • IAMユーザー ◦ コンソールユーザーだったり、プログラブルユーザーだったりさまざま • IAMロール ◦ AzureではマネージドID、Google Cloudではサービスアカウントに該当 • IAMユーザーグループ ◦ IAM ユーザーの集合 27

28. AWSリソースへの認証・認可2 • アプリケーションのアイデンティティプラットフォーム ◦ Amazon Cognito ソーシャルで認証して前述のAWS IAMと連携 （Web IDフェデレーションアクセスなどよく言われる）

    IAMロールをマップして操作できる内容を変更できる。 例：システムにGoogleのIDでログインしたら閲覧のみ許可 28

29. AWSアカウントの制御 • アカウント制御 ◦ AWS Control Tower 簡単にいうと？： 組織内のアカウントオーケストレーション できること（例）：

    特定のサービスのみOUもしくはアカウント単位で操作を制限/強制する。 29

30. 補足：AWS Builder ID • AWSのアカウントを補完するものとして登場 • これ単体ではAWSリソースにアクセスできない • その反面、このIDがないと利用できないサービスがある 30

    参考：AWS ビルダー IDでサインインします。 https://docs.aws.amazon.com/ja_jp/signin/latest/userguide/builder-id-type.html

31. まとめ • 認証認可ってなんだっけ？ ◦ 認証：システム・リソース利用に必要な本人確認 ◦ 認可：システム・リソースの操作に対する権限 • クラウドではさまざまな認証がある ◦

    昨今においてはクラウド同士で安全に認証する方法があるYo • 今回はGoogle Cloud ✖ Azureで認証してみた ◦ 認証すれば、他のクラウドサービスも安全に呼び出せるYo • AWSの認証認可 ◦ IAMやAmazon Cognito、AWS Control TowerがあるYo 31

32. 32 ここから先は資料集 Tips

33. Google Cloud関連 33

34. Identity-Aware Proxy https://cloud.google.com/iap/docs/concepts-overview?hl=ja 34

35. Workload Identity https://cloud.google.com/iam/docs/workload-identity-federation?hl=ja 35

36. IAM https://cloud.google.com/iam/docs/overview?hl=ja 36

37. Workforce Identity https://cloud.google.com/workforce-identity-federation?hl=ja 37

38. Cloud Identity https://cloud.google.com/identity?hl=ja 38