今回も、前回に引き続き、「Google Associate Cloud Engineer」認定取得の勉強におけるアウトプット内容となっています。
将来、「Google Associate Cloud Engineer」認定取得を目指している方向けに、ぴったりの内容となっています。
Identity and Access Management(IAM)の説明②
アクセス管理に関するコンセプト
認証されたプリンシパル(対象者)がGCPのリソースにアクセスする際、IAMの許可ポリシーを照合し、アクセス権を確認します。
その際に使用するのが、
- リソース
- 権限
- ロール
- 許可ポリシー
上記4つです。
リソース
ユーザーが特定のGoogle Cloudサービスにアクセスする際、そのサービスのロールをユーザーに付与できます。リソースの例としては、プロジェクトや、Cloud Storageバケットなどがあります。
権限
権限によって、サービスに対して許可されている操作が決まります。
ユーザーに直接権限を付与することはできず、必要な権限を含むロールを付与します。
ロール
ロールは権限の集合体です。ユーザーに権限を付与するのではなく、ロールを与えます。
ロールには、いくつかの種類があります。
- 基本ロール:Google Cloud Consoleで従来から使用されているロール。ロールには、オーナー、編集者、閲覧者があります。
- 事前定義ロール:基本ロールよりも詳細なアクセス生後が可能なロールです。通常、ロールを付与する場合、事前定義ロールを付与します。
- カスタムロール:事前定義ロールで設定できないニーズに応じて作成するロールです。
注意!!
本番環境では、事前定義ロール又はカスタムロールを付与します。理由は、基本ロールには、Google Cloudサービスに関わる多くの権限が含まれるからです。
許可ポリシー
誰がどの種類のアクセス権を持つかを定義する設定の集合です。
IAMに関するベストプラクティス
- 付与する権限は必要最小限の範囲となるようにする
- 個々のユーザではなく、グループに対して権限を設定する
- 組織を構成する
- 可能な限り2要素認証を利用する
リソース階層とIAM
- 上位で設定されたものは下位に継承される
- 下位で権限を剥奪はできない。権限を追加することは可能
ドメイン&役割のベストプラクティス
<重要な役割を複数の人に割り当てる>
・アカウント復旧時にすばやく対応が可能
・復旧プロセスを把握しておく
・常に最新の状態にしておく
<特権管理者用のメールアドレスを作成>
・特権管理者用のメールアドレスを作成し、復旧用アカウントとする
・2要素認証を有効にし、セキュリティを確保する
<請求先アカウントユーザー>
・プロジェクトを請求先アカウントにリンクしますが、リンクを解除することはできません
・費用の閲覧
プロジェクト&フォルダ&ラベル
- プロジェクト:Google Cloudのサービスリリースが紐づく
- フォルダ:プロジェクトを論理的にグループする
- ラベル:柔軟なコスト管理に利用する
プロジェクト&フォルダ&ラベル役割設定
<プロジェクト作成者>
・プロジェクトの作成が可能。作成したプロジェクトに対してオーナー権限が付与される
<プロジェクト編集者>
・プロジェクトのコストとGoogle Cloudのリソース使用量の閲覧
・ラベルの追加
プロジェクト&フォルダのベストプラクティス
<フォルダの作成は組織構造に合わせる>
・フォルダの構成を組織構成に合わせ、権限の継承を活用することで、IAMの設定を集約できる
・プロジェクト作成者と施灸先アカウントユーザーはセットで付与
・本番環境と開発環境はプロジェクトを分離する
<組織やフォルダ、プロジェクトに権限を付与する>
・基本的に個別のリソースではなく、組織やフォルダ、プロジェクトに対して権限を付与する
・プロジェクトやフォルダ、リソースには命名規則を定義する
フォルダとラベルの使い分け
<フォルダとラベルの考え方の違い>
・フォルダは垂直方向の分析で、ラベルは水平方向の分析で利用する
・フォルダは、階層構造えの構成となるば、ラベルは自由に付与できる為、柔軟なコスト分析に利用可能
<計画的にラベルを利用する>
・ラベルの利用について社内のルールを定める
・自動的に付与されるラベルを把握し、活用する
まとめ
今回は、IAM(Identity and Access Management)について、説明しました。IAMは、GCPを利用する上で必須の知識なので、是非抑えておいてください。特に、ベストプラクティスは重要です。
これからも、Macのシステムエンジニアとして、日々、習得した知識や経験を発信していきますので、是非、ブックマーク登録してくれると嬉しいです!
それでは、次回のブログで!