はじめのGCP入門講座②Google Associate Cloud Engineer認定取得までの道のり-その弐-

今回も、前回に引き続き、「Google Associate Cloud Engineer」認定取得の勉強におけるアウトプット内容となっています。

将来、「Google Associate Cloud Engineer」認定取得を目指している方向けに、ぴったりの内容となっています。

Identity and Access Management（IAM）の説明②

認証されたプリンシパル（対象者）がGCPのリソースにアクセスする際、IAMの許可ポリシーを照合し、アクセス権を確認します。

その際に使用するのが、

上記4つです。

ユーザーが特定のGoogle Cloudサービスにアクセスする際、そのサービスのロールをユーザーに付与できます。リソースの例としては、プロジェクトや、Cloud Storageバケットなどがあります。

権限によって、サービスに対して許可されている操作が決まります。

ユーザーに直接権限を付与することはできず、必要な権限を含むロールを付与します。

ロールは権限の集合体です。ユーザーに権限を付与するのではなく、ロールを与えます。

ロールには、いくつかの種類があります。

注意！！
本番環境では、事前定義ロール又はカスタムロールを付与します。理由は、基本ロールには、Google Cloudサービスに関わる多くの権限が含まれるからです。

誰がどの種類のアクセス権を持つかを定義する設定の集合です。

＜重要な役割を複数の人に割り当てる＞
・アカウント復旧時にすばやく対応が可能
・復旧プロセスを把握しておく
・常に最新の状態にしておく

＜特権管理者用のメールアドレスを作成＞
・特権管理者用のメールアドレスを作成し、復旧用アカウントとする
・2要素認証を有効にし、セキュリティを確保する

＜請求先アカウントユーザー＞
・プロジェクトを請求先アカウントにリンクしますが、リンクを解除することはできません
・費用の閲覧

＜プロジェクト作成者＞
・プロジェクトの作成が可能。作成したプロジェクトに対してオーナー権限が付与される

＜プロジェクト編集者＞
・プロジェクトのコストとGoogle Cloudのリソース使用量の閲覧
・ラベルの追加

＜フォルダの作成は組織構造に合わせる＞
・フォルダの構成を組織構成に合わせ、権限の継承を活用することで、IAMの設定を集約できる
・プロジェクト作成者と施灸先アカウントユーザーはセットで付与
・本番環境と開発環境はプロジェクトを分離する

＜組織やフォルダ、プロジェクトに権限を付与する＞
・基本的に個別のリソースではなく、組織やフォルダ、プロジェクトに対して権限を付与する
・プロジェクトやフォルダ、リソースには命名規則を定義する

＜フォルダとラベルの考え方の違い＞
・フォルダは垂直方向の分析で、ラベルは水平方向の分析で利用する
・フォルダは、階層構造えの構成となるば、ラベルは自由に付与できる為、柔軟なコスト分析に利用可能

＜計画的にラベルを利用する＞
・ラベルの利用について社内のルールを定める
・自動的に付与されるラベルを把握し、活用する

今回は、IAM(Identity and Access Management)について、説明しました。IAMは、GCPを利用する上で必須の知識なので、是非抑えておいてください。特に、ベストプラクティスは重要です。

これからも、Macのシステムエンジニアとして、日々、習得した知識や経験を発信していきますので、是非、ブックマーク登録してくれると嬉しいです！

それでは、次回のブログで！