Workforce Identity Federation を利用する
はじめに アプリケーションモダナイゼーションスペシャリストの関本と申します。 今回は、Google Cloud Japan Advent Calendar の 8 日目の投稿として、アプリケーションモダナイゼーションとあまり関係がない、Workforce Identity Federation についてご紹介します。 TL;DR Workforce Identity Federation を利用すると Cloud Identity を利用せずに他の IdP(Microsoft Entra ID などの外部 ID プロバイダー) の ID で Google Cloud を利用できます。 Workforce Identity Federation とは? Google Cloud の外部(他のクラウドや Kubernetes など)で実行されているアプリケーションが、Service Accou
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン) - Qiita
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン)AWSSSOaws-ssoIAM_Identity_Center はじめに 仕事で初めてIAM Identity Centerを使う機会があり、使ってみたらマルチアカウントの管理が想像以上にやりやすかったので、紹介しようと思います。 【次】IAM Identity Centerを使って複数アカウント管理する。(その2:CLIでのアクセスと管理の委任) IAM Identity Centerとは AWS Single Sign-onの後継サービスとなり、AWS Organizationsで複数アカウントを運用している環境で各ユーザを集約管理し、各アカウントへのログインを簡単に行えるようにするためのサービスです。 前提として、AWS Organizationsを使
Professional Google Workspace Administrator試験対策マニュアル - G-gen Tech Blog
G-gen の杉村です。 Google Cloud (GCP) 認定試験の一つである Professional Google Workspace Administrator 試験 (旧称 Professional Collaboration Engineer) は、 Google の提供するグループウェアである Google Workspace の専門知識を問う試験です。当記事では試験合格に役立つ内容をご紹介します。 はじめに Professional Google Workspace Administrator とは 難易度 学習方法 注意点・出題傾向 ディレクトリ設計・管理 組織部門設計 カスタムディレクトリ 設定グループ データリージョン ドメイン名(セカンダリドメイン) アカウント保護 コンテキストアウェアアクセス コンプライアンス(Google Vault) Google Vau
GCP の IAM をおさらいしよう
この記事は Google Cloud Japan Customer Engineer Advent Calendar 2019 の 6日目の記事です。 TL;DR本記事ではGoogle Cloud Platform (GCP) での ユーザーや権限を管理する IAM について整理していきます。 はじめにクラウドを使う上で、ユーザー管理や権限管理は重要ですよね。GCP を使う際に、どのようにユーザー管理できるのか、権限管理や認証を整理してみようと思います。GCP では権限管理を Identity and Access Management( IAM )というもので管理しています。IAMでは、誰が、どのような操作を、何に対して行えるかというものを定義・管理します。これによりアカウントの追加・削除や権限付与がシンプルになり、管理が容易になります。 IAMのユーザーと権限GCP で利用できるアカウ
GCPの別プロジェクトにIAM権限をコピーする - UGA Boxxx
GCPにすでにある検証環境プロジェクトをクローンして開発環境プロジェクトをつくる際にIAM権限のコピーを行ったときのメモ 1. コピー元プロジェクトのIAMのエクスポート $ gcloud projects get-iam-policy <プロジェクトID> --format json > IAM.json 2. サービスアカウントのプロジェクト番号を変更 IAM.json内のプロジェクト番号をコピー元からコピー先に変更する プロジェクト番号の確認 $ gcloud projects describe <プロジェクトID> | grep projectNumber 確認したら、そのプロジェクト番号でIAM.json内のプロジェクト番号を全置換 3. etagの情報削除 IAM.json内にetagが存在しているとインポート時に現行リソースとファイル内のetag情報のチェックが行われ、一致し
Google Cloud:プロジェクトの組織間移行について解説 | DevelopersIO
今回はドメイン保持の関係により、組織間プロジェクト移行の解説のみになります。機会があれば、「実際の移行をやってみた」ブログも執筆できればと思います。 Google Cloud 組織間のプロジェクト移行 Google Cloud (旧GCP)のプロジェクト移行は、組織の成長や再構成、または管理の煩雑さを軽減するために行うことがあります。 プロジェクトの移行は、Resource Manager APIを利用することでスムーズに行うことができます。 今回は、公式のホームページの情報をもとに、GCP組織間のプロジェクト移行の方法とその注意点について解説していきます。 組織間のプロジェクト移行とは 先にお伝えした、Resource Manager APIとは、Google Cloudの全リソースを管理するためのAPIになります。 さらに、移行が上手くいかなかった場合や元の構成に戻したい場合などには、
特殊なケースを処理する | Resource Manager のドキュメント | Google Cloud
フィードバックを送信 特殊なケースを処理する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このトピックでは、プロジェクトの移行に関連する特殊なケースの処理について説明します。 組織リソースのないプロジェクトの移行 組織リソースに関連付けられていないプロジェクトは、他の組織リソースに移行できます。ただし、このプロセスを使用して [組織なし] に戻すことはできません。組織リソースに関連付けられたプロジェクトがあり、[組織なし] に戻す場合は、サポート担当者にお問い合わせください。 プロジェクトの親組織リソースに対する resourcemanager.organizations.get 権限がない場合、プロジェクトが想定された実際の組織のもとで反映されていない可能性があります。詳細については、ユーザーのプロジェクト公開設定の制限をご覧ください。 組織リソース
IAM Conditionsで特定のGCSバケットのみアクセスできるようにする
通常は、GCPプロジェクトに対してオーナー(Owner)や編集者(Editor)などの権限を付与すると、すべてのGoogle Cloud Storage(GCS)バケットにアクセスできてしまいます。そこで、一部の人に対して、特定のGCSバケットのみアクセスできるようにしたいと思います。 GCSバケットのアクセス制限について調べると、GCSバケット側で権限追加する方法が紹介されています。この方法は簡単なのですが、どのGCSバケットにどのユーザー、サービスアカウントがアクセス許可されているのかがわかりづらいです。 そこで今回は、IAM Conditionsの機能を使って、IAM側でGCSバケットのアクセス制御を行ってみます。 IAM Conditionsとは GCPのIAM(Cloud IAM)において、リソース名や時間などを条件にアクセス制御を定義する機能です。AWS IAMにおいてポリシー
BigQueryの権限管理について | Hakky Handbook
BigQuery の権限管理について はじめに これから Google Cloud を使ったデータ分析基盤を構築する方のために、BigQuery の権限管理について紹介します。 BigQuery のアクセス権限設定のコンポーネント BigQuery では、誰(プリンシパル)に何(対象レイヤ)に対してどのような権限を与えるかを設定することができます。 プリンシパル 具体的な人間やアカウント Google アカウント サービス アカウント Google グループ Google Workspace ドメイン Cloud Identity ドメイン 対象レイヤ 権限範囲の対象 組織、フォルダ、プロジェクト BigQuery データセット BigQuery テーブル、ビュー、関数 BigQuery テーブルの行単位、列 権限 具体的な権限 こちらを参照 BigQuery のロール ロールとは、
【R&D DevOps通信】データ基盤におけるGoogleグループ・IAMによるアクセス制御 - Sansan Tech Blog
研究開発部 Architectグループにてデータエンジニアとしてデータ基盤の開発・運用を担当しているジャン(a.k.a jc)です。 データ基盤の構築はETL処理の実装やパイプラインの監視だけでなく、セキュリティ、データアクセス制御管理もデータエンジニアリングライフサイクルの一環として、重要な存在になっています*1。データ基盤の第四弾となる今回は、BigQuery上に構築したデータ基盤におけるGoogleグループ・IAMによるアクセス制御を中心に紹介したいと思います。 また、過去のデータ基盤関連の記事も併せてお読みいただければと思います。 【R&D DevOps通信】データ基盤におけるGitHub Actionsを使ったTerraformとCloud ComposerのCI/CD - Sansan Tech Blog 【R&D DevOps通信】Cloud Composerを用いたデータ基
Google Cloud Storage(GCS)にIP制限をかける with Terraform - Qiita
はじめに 本記事はQualiArts Advent Calendar 2020 14日目の記事です。 今回は、Google Cloud Platform (GCP)のオブジェクトストレージであるGoogle Cloud Storage (GCS)に対して、同じくGCPのサービスであるVPC Servive Controls (VPC-SC)とAccess Context Manager (ACM)でIP制限をかける構成の紹介と、その構成をTerraformで管理する方法についてまとめます。 なお、Access Context Managerの一般的に広まっている略語を見つけられなかったため、本記事では勝手にACMとしています。(AWS Certificate Managerと被ってしまいますがご了承ください。) 前提知識 VPC Servive Controls https://cloud
Google Cloud でサービス アカウントの権限借用(impersonate)を活用して SRE の権限を縮小させた話 - オールアバウトTech Blog
こんにちは。オールアバウト SRE 所属 の@s_ishiiと申します。 Google Cloud にはサービス アカウントの権限借用という機能があります。この機能を活用することで普段の運用をより安全にすることができます。この記事ではオールアバウトが導入・実践しているサービス アカウントの権限借用に関して解説します。 前提 オールアバウトでは SRE が全サービスのインフラを一元的に管理しています。このため SRE は全ての Google Cloud のプロジェクトに対してオーナー権限(roles/owner)を保持していました。 SRE メンバー全員がインフラを自由に変更できてしまうため、普段から Google Cloud のコンソール画面で設定を変更してしまわないよう注意しながら運用する必要がありました。 こうした状況を解決する手段としてサービス アカウントの権限借用の活用を検討し始め
Cloud IAMの権限不足エラーへの対処方法 (403 Permission 〜 denied) - G-gen Tech Blog
G-gen の武井です。 Google Cloud (旧称 GCP) の Cloud IAM (Identity and Access Management) にて、権限不足に伴うエラーが発生した場合の対処方法について説明したいと思います。 Cloud IAM 簡単なおさらい 用語 図説 IAM ロール 事象 対処方法 原因と対処法の確認 最適な IAM ロールの選択 IAM permissions reference Understanding roles IAM ロールの付与 簡単なおさらい 本題の説明に入る前に、まずは基本事項について簡単に振り返りたいと思います。 用語 Cloud IAM を理解する上で重要な用語と、それらの意味は以下のようになります。 用語 意味 Google アカウント IAM の実行主体 (人) Google グループ 上記をグループ化したもの サービスアカウ
IAM を使用したフォルダのアクセス制御 | Resource Manager のドキュメント | Google Cloud
フィードバックを送信 IAM を使用したフォルダのアクセス制御 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。 IAM では、IAM ポリシーを設定して、誰(どのユーザー)に、どのリソースに対するどのアクセス権(役割)を付与するかを制御することができます。IAM ポリシーは、特定の役割をユーザーに付与することで、そのユーザーに特定の権限を付与します。 このページでは、フォルダレベルで使
GCP の Cloud IAM に登場する基本概念まとめ + AWS IAM との対応 - Qiita
AWS を使うことが多かった自分が GCP をさわったところ、Cloud IAM に登場する用語が AWS の IAM と違うことで非常に混乱しました。 そこで、過去に AWS の IAM1 や Kubernetes の RBAC2 についてまとめたのと同じように、GCP の Cloud IAM に登場する基本概念をまとめました。 ※ 基本を理解するための記事なので、厳密ではない表現をしている箇所があります ※ Cloud IAM 初心者のため、間違いがあるかもしれません。見つけた方はご指摘ください Cloud IAM に登場する基本概念の全体像 整理した概念の全体像は以下の通りです。 AWS と比べながら順に説明していきます。 各概念の説明 メンバー GCP では IAM によって権限を付与できる対象を「メンバー」と言います。 「メンバー」には、 Google アカウント サービスアカウ
【GCP】特定のGCSバケットに特定のユーザーしかアクセスできないようにする
やりたいこと GCSバケットを何も設定しないで作成すると、プロジェクトのOwner、Editor、ViewerはGCSバケットのオブジェクトを参照することができてします。 さらに、Organization 横断ユーザ(例: セキュリティ監査チームやGSuites管理者)などもアクセスできてしまいます。 たとえば、機密情報を管理するバケットを作る場合など、許可した特定のユーザーのみを、特定のバケットにアクセスを許可する方法を調べました。 結論 プロジェクトレベルのIAMで storage.objects.get の権限を付与しない プロジェクトレベルのIAMとはここで設定する権限のこと https://console.cloud.google.com/iam-admin/iam GCSバケットのアクセス制御は Uniform モードで作成する バケットの詳細ページでパーミッションを設定する
Google Cloud Platform Cloud Billing IAM を軽く説明 - Qiita
Cloud Billing IAM とは Cloud Billing IAMとは、Google Cloud Platform(GCP) の請求情報となる請求先アカウントに対する役割を制御します。 請求先アカウントにはクレジットカード情報等お支払い情報が設定されています。お支払い情報は、GCP の使用を始める際に設定する必要になります。 Cloud Billing IAMは、Cloud IAM の設定画面ではなく、お支払いの画面で設定します。(一部はCloud IAM で設定します。) コンシューマーが無料の@gmail.comからGCPを利用する場合は、特に意識することなく自分(ユーザー)がプロジェクトオーナーであり、請求先アカウント管理者となります。 G Suite や Google Cloud Identity を使って複数ユーザーを管理する場合、組織のアカウントの請求先アカウントを1
サービスアカウントでLooker Studio(旧データポータル)からBigQueryに接続する
Looker Studio(旧データポータル)からBigQueryなどのデータソースに接続する場合の認証について主に次の3種類に区分されます。 オーナーの認証情報 閲覧者の認証情報 サービスアカウント 1はLooker Studioでレポートを作成したオーナーの認証情報をつかったアクセスです。2はレポートを閲覧したユーザーアカウントの認証情報をつかったアクセスです。3はユーザーではなく、共通のアカウントとなるサービスアカウントによるアクセスです。 ユーザーアカウントによる認証情報ではなく、サービスアカウントを利用することのメリットは以下のとおりです。 (オーナーの認証情報を使用している場合)退職やアカウント停止による影響をうけない (閲覧者の認証情報を使用している場合)閲覧者一人ひとりに対してアクセス権限を付与する必要がない Looker Studioからサービスアカウントを使用する方法に
ロールの推奨事項用のデータのエクスポート | Policy Intelligence | Google Cloud
フィードバックを送信 ロールの推奨事項用のデータのエクスポート コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 IAM ロール推奨機能は、Google Cloud でのサービスの使用中に収集された IAM アクセスデータを使用して、推奨事項を提供します。このデータは主にコンプライアンス目的で使用されます。 このページでは、BigQuery Data Transfer Service を使用して、そのアクセスデータを BigQuery にエクスポートする方法について説明します。 分析情報と推奨事項のスナップショットをエクスポートする場合は、BigQuery への推奨事項のエクスポートをご覧ください。 始める前に IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Servi
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GCPのプロジェクトを別の組織に移行するときの注意点 - めもめもpaoooooon