今後、業務でGoogle Cloud Platform(GCP)を扱うことになりました。まずは、基本的な知識を習得する為、「Google Associate Cloud Engineer」認定取得の勉強を行っています。
将来、「Google Associate Cloud Engineer」認定取得を目指している方向けに、私が習得した内容をアウトプットします。
試験概要
- 時間:2時間
- 登録料:$125(税別)
- 言語:英語、日本語、スペイン語、インドネシア語
- 試験の形式:選択式
- 受験方法:オンサイト…テストセンターで受験
オンライン…自宅で受験(監視ソフトをインストール) - 前提条件:なし
- 推奨される経験:6ヶ月以上のGoogle Cloudの実務経験
出題内容
出題内容は、以下5つの内容となります。
- クラウド ソリューション環境の設定プログラムの概要
- クラウド ソリューションの計画と構成
- クラウド ソリューションのデプロイと実装
- クラウド ソリューションの正常な運用
- アクセスとセキュリティの構成
Google Cloudの概要
Google Cloudのリソース
コンピュータ上で仮想マシン(VM)を稼働し、それをユーザに提供しています。全世界にデータセンターがあり、それらを組み合わせることで、障害時の冗長性を確保しています。
リソースの使用方法
ユーザは、Google Cloudが提供している様々なサービスを使用し、リソースを使用します。
3週類のリソース
リソースには、大きく3種類あります。各リソースによってアクセスできるものが変わります。
- グローバルリソース
- リージョンリソース
- ゾーンリソース
1.グローバルリソース
グローバルリソースは、複数のリージョンで使用できるリソースです。
例えば、
- アドレス
- イメージ
- スナップショット
- インスタンス テンプレート
- Cloud Interconnect
- Cloud Interconnect のロケーション
- VPC ネットワーク
- ファイアウォール
- ルート
- グローバル オペレーション
などがあります。
リージョン リソース
リージョンとは、特定の地域を表し、例えば「asia-northeast1」は東京リージョンを表しています。リージョンは、地理的範囲になります。リージョンリソースには、同じリージョン内のすべてのリソースからアクセスすることができます。
リージョンリソースには、
- アドレス
- Cloud Interconnect のアタッチメント
- サブネット
- リージョン マネージド インスタンス グループ
- リージョン永続ディスク
- リージョン オペレーション
等があります。
ゾーンリソース
ゾーンとは、リージョン内の区画になります。ゾーンリソースは、同じゾーン内でしかアクセスできないので、例えば、東京リージョンの「asia-northeast1-a」のリソースが、「asia-northeast1-b」のリソースにアクセスはできません。
ゾーンリソースには、
- インスタンス
- 永続ディスク
- マシンタイプ
- ゾーン マネージド インスタンス グループ
- Cloud TPU
- ゾーン オペレーション
等があります。
Identity and Access Management(IAM)の説明①
IAMとは
Google Cloudのリソースに対するアクセス権設定です。IAMでは、ポリシーを作成し、そのポリシー内で誰にどのリソースを割り当てるかの設定を行います。
IAMのアクセス管理モデル
IAMのアクセス管理モデルは、3つの主要なパートで構成させています。
- プリンシパル
- ロール
- ポリシー
1.プリンシパル
プリンシパル(principal)は、直訳すると「主役」という意味が持つとおり、アカウントなどの対象を表しています。
プリンシパル(アカウント)には、下記のようなものがあります。
- Googleアカウント
- サービスアカウント
- Googleグループ
- Google Workspace
- Google Identity
プリンシパルは、ユニークなID(通常はメールアドレス)があります。
2.ロール
ロール(role)は、直訳すると「役割」という意味が持つとおり、何ができるか(できないか)の設定です。例えば、Aさんは、書類は作成するけど、機械の修理はしない、みたいな役割のことをロールと呼びます。
プリンシパル(アカウント)にロール(役割)を与えます。
3.ポリシー
ポリシー(policy)は、直訳すると「方針」という意味が持つとおり、役割を与えるかどうかの判断です。例えば、Bさんは会社の機密情報を閲覧できるなどの、役割を与えるかどうかがポリシー(方針)になります。
プリンシパルの種類
プリンシパルは、アカウントと説明しましたが、それ以外も含まれます。
代表的なものとして、
- Googleアカウント
- サービスアカウント
- Googleグループ
- Google Workspaceアカウント
- Cloud Identityドメイン
- 認証済みのすべてのユーザー
- すべてのユーザー
があります。
Googleアカウント
Googleアカウントは、Googleのサービスを利用するためのものであり、通常はメールアドレスになります。
サービスアカウント
サービスアカウントは、アプリケーション等をアカウントとして見立てているものです。Google Cloudでアプリケーションを実行すると、そのアプリケーションが実行したことになります。例えば、経理課のCさんが請求書の処理をおこなった場合、行ったのはCさんですが、「経理課の担当者」が行ったことになります。その「経理課の担当者」の部分が、サービスアカウントになります。
Google グループ
Googleグループは、複数のGoogleアカウントやサービスアカウントをまとめたもので、Googleグループにも固有のメールアドレスが割当られています。
そのグループに対して、ロールやポリシーを設定することができます。
Google Workspaceアカウント
Google Workspaceアカウントは、そこに含まれるすべてのGoogleアカウントの仮想グループを表します。
会社で例えると、マーケティング部という部署自体がWorkspaceアカウントにあたります。
Cloud Identityドメイン
Cloud Identityドメインは、1つの組織内のすべてのGoogleアカウントの仮想グループです。Cloud Identityドメインユーザーは、Google Workspaceのアプリケーションを使用することはできません。
要は、会社で例えると、会社自体がCloud Identityドメインユーザーになります。会社は人ではないので、個別のアプリケーションにアクセスすることができないのと一緒です。
認証済みのすべてのユーザー
認証済みのすべてのユーザーは、上記ユーザー(アカウント)で、認証されたものをさします。
会社で例えると、その会社の従業員が、その会社の社員として認められているので、社員の部分が、「認証済みのすべてのユーザー」になります。取引会社の方などは社外の方になるので、その中に含まれません。
すべてのユーザー
すべてのユーザーは、認証される、されない関係なく全ての人です。
会社で例えると、会社に関係なく、世界中の人々がすべてのユーザーにあたります。
まとめ
今回は、下記4点について説明を行いました。
- 試験概要
- 出題内容
- Google Cloudの概要
- Identity and Access Management(IAM)①
IAMについては、試験でよく出題される内容なので、2回に分けて説明します。今回説明した部分をしっかり理解し、次のブログをご期待ください!
これからも、Macのシステムエンジニアとして、日々、習得した知識や経験を発信していきますので、是非、ブックマーク登録してくれると嬉しいです!
それでは、次回のブログで!
