呼び出しを認証する | Cloud Functions Documentation | Google Cloud
検索を簡素化し、ドキュメントのエクスペリエンスを向上させるために、第 1 世代と第 2 世代のドキュメントを別々のセットに分割します。 呼び出しを認証する 認証された Cloud Functions の関数を呼び出すには、基盤となるプリンシパルに起動元の IAM 権限が必要です。 第 1 世代の関数の場合は cloudfunctions.functions.invoke。これは通常、Cloud Functions 起動元のロールによって行われます。 第 2 世代の関数の場合は run.routes.invoke。これは通常、Cloud Run 起動元ロールによって行われます。 関数でその他の管理アクションを作成、更新、実行するには、適切なロールを持つプリンシパルが必要です。詳しくは、IAM を使用したアクセスの承認をご覧ください。 ただし、関数の呼び出しはより複雑なイベントになる場合があり
サービス アカウント キーを無効にする | IAM のドキュメント | Google Cloud
サービス アカウント キーを無効にする コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 IAM サービス アカウント キーを無効にする方法を示します。 もっと見る このコードサンプルを含む詳細なドキュメントについては、以下をご覧ください。 サービス アカウント キーの無効化と有効化 コードサンプル Java IAM のクライアント ライブラリをインストールして使用する方法については、IAM クライアント ライブラリをご覧ください。詳細については、IAM Java API のリファレンス ドキュメントをご覧ください。 IAM で認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。 import com.google.api.client.googleapis.javanet.Googl
GAE/Pythonでサービスアカウントキーファイルを使わないようにした - Pirika Developers Blog
こんにちは。ピリカ開発チームの伊藤です。 GCPの各種サーバーレスサービスにアクセスするには、認証情報が必要となります。App EngineやCloud Functions上で動作している場合は、GCPの各種ライブラリを使っていれば特に何もしなくても認証が通った状態となり、FirestoreやCloud Storageなどを扱うことができるようになっています。 しかし、ローカルでの動作確認を行う場合など、GCP外で動く場合には認証情報を渡す必要があります。 これまで、ローカルでの認証のためには「サービスアカウントキー」というJSONファイルを取得することが多かったのですが、サービスアカウントキーファイルが漏洩した場合に検知が難しいなどの問題があり、最近は非推奨となっています。 では具体的にどのようにすれば良いのかというと、あまりまとまった情報がありませんでした。 今回は、GAE/Pytho
Workforce Identity Federation を利用する
はじめに アプリケーションモダナイゼーションスペシャリストの関本と申します。 今回は、Google Cloud Japan Advent Calendar の 8 日目の投稿として、アプリケーションモダナイゼーションとあまり関係がない、Workforce Identity Federation についてご紹介します。 TL;DR Workforce Identity Federation を利用すると Cloud Identity を利用せずに他の IdP(Microsoft Entra ID などの外部 ID プロバイダー) の ID で Google Cloud を利用できます。 Workforce Identity Federation とは? Google Cloud の外部(他のクラウドや Kubernetes など)で実行されているアプリケーションが、Service Accou
Professional Google Workspace Administrator試験対策マニュアル - G-gen Tech Blog
G-gen の杉村です。 Google Cloud (GCP) 認定試験の一つである Professional Google Workspace Administrator 試験 (旧称 Professional Collaboration Engineer) は、 Google の提供するグループウェアである Google Workspace の専門知識を問う試験です。当記事では試験合格に役立つ内容をご紹介します。 はじめに Professional Google Workspace Administrator とは 難易度 学習方法 注意点・出題傾向 ディレクトリ設計・管理 組織部門設計 カスタムディレクトリ 設定グループ データリージョン ドメイン名(セカンダリドメイン) アカウント保護 コンテキストアウェアアクセス コンプライアンス(Google Vault) Google Vau
GCP の IAM をおさらいしよう
この記事は Google Cloud Japan Customer Engineer Advent Calendar 2019 の 6日目の記事です。 TL;DR本記事ではGoogle Cloud Platform (GCP) での ユーザーや権限を管理する IAM について整理していきます。 はじめにクラウドを使う上で、ユーザー管理や権限管理は重要ですよね。GCP を使う際に、どのようにユーザー管理できるのか、権限管理や認証を整理してみようと思います。GCP では権限管理を Identity and Access Management( IAM )というもので管理しています。IAMでは、誰が、どのような操作を、何に対して行えるかというものを定義・管理します。これによりアカウントの追加・削除や権限付与がシンプルになり、管理が容易になります。 IAMのユーザーと権限GCP で利用できるアカウ
Google Cloud でサービス アカウントの権限借用(impersonate)を活用して SRE の権限を縮小させた話 - オールアバウトTech Blog
こんにちは。オールアバウト SRE 所属 の@s_ishiiと申します。 Google Cloud にはサービス アカウントの権限借用という機能があります。この機能を活用することで普段の運用をより安全にすることができます。この記事ではオールアバウトが導入・実践しているサービス アカウントの権限借用に関して解説します。 前提 オールアバウトでは SRE が全サービスのインフラを一元的に管理しています。このため SRE は全ての Google Cloud のプロジェクトに対してオーナー権限(roles/owner)を保持していました。 SRE メンバー全員がインフラを自由に変更できてしまうため、普段から Google Cloud のコンソール画面で設定を変更してしまわないよう注意しながら運用する必要がありました。 こうした状況を解決する手段としてサービス アカウントの権限借用の活用を検討し始め
Cloud IAMの権限不足エラーへの対処方法 (403 Permission 〜 denied) - G-gen Tech Blog
G-gen の武井です。 Google Cloud (旧称 GCP) の Cloud IAM (Identity and Access Management) にて、権限不足に伴うエラーが発生した場合の対処方法について説明したいと思います。 Cloud IAM 簡単なおさらい 用語 図説 IAM ロール 事象 対処方法 原因と対処法の確認 最適な IAM ロールの選択 IAM permissions reference Understanding roles IAM ロールの付与 簡単なおさらい 本題の説明に入る前に、まずは基本事項について簡単に振り返りたいと思います。 用語 Cloud IAM を理解する上で重要な用語と、それらの意味は以下のようになります。 用語 意味 Google アカウント IAM の実行主体 (人) Google グループ 上記をグループ化したもの サービスアカウ
IAM を使用したフォルダのアクセス制御 | Resource Manager のドキュメント | Google Cloud
フィードバックを送信 IAM を使用したフォルダのアクセス制御 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。 IAM では、IAM ポリシーを設定して、誰(どのユーザー)に、どのリソースに対するどのアクセス権(役割)を付与するかを制御することができます。IAM ポリシーは、特定の役割をユーザーに付与することで、そのユーザーに特定の権限を付与します。 このページでは、フォルダレベルで使
GCP の Cloud IAM に登場する基本概念まとめ + AWS IAM との対応 - Qiita
AWS を使うことが多かった自分が GCP をさわったところ、Cloud IAM に登場する用語が AWS の IAM と違うことで非常に混乱しました。 そこで、過去に AWS の IAM1 や Kubernetes の RBAC2 についてまとめたのと同じように、GCP の Cloud IAM に登場する基本概念をまとめました。 ※ 基本を理解するための記事なので、厳密ではない表現をしている箇所があります ※ Cloud IAM 初心者のため、間違いがあるかもしれません。見つけた方はご指摘ください Cloud IAM に登場する基本概念の全体像 整理した概念の全体像は以下の通りです。 AWS と比べながら順に説明していきます。 各概念の説明 メンバー GCP では IAM によって権限を付与できる対象を「メンバー」と言います。 「メンバー」には、 Google アカウント サービスアカウ
【GCP】特定のGCSバケットに特定のユーザーしかアクセスできないようにする
やりたいこと GCSバケットを何も設定しないで作成すると、プロジェクトのOwner、Editor、ViewerはGCSバケットのオブジェクトを参照することができてします。 さらに、Organization 横断ユーザ(例: セキュリティ監査チームやGSuites管理者)などもアクセスできてしまいます。 たとえば、機密情報を管理するバケットを作る場合など、許可した特定のユーザーのみを、特定のバケットにアクセスを許可する方法を調べました。 結論 プロジェクトレベルのIAMで storage.objects.get の権限を付与しない プロジェクトレベルのIAMとはここで設定する権限のこと https://console.cloud.google.com/iam-admin/iam GCSバケットのアクセス制御は Uniform モードで作成する バケットの詳細ページでパーミッションを設定する
Google Cloud Platform Cloud Billing IAM を軽く説明 - Qiita
Cloud Billing IAM とは Cloud Billing IAMとは、Google Cloud Platform(GCP) の請求情報となる請求先アカウントに対する役割を制御します。 請求先アカウントにはクレジットカード情報等お支払い情報が設定されています。お支払い情報は、GCP の使用を始める際に設定する必要になります。 Cloud Billing IAMは、Cloud IAM の設定画面ではなく、お支払いの画面で設定します。(一部はCloud IAM で設定します。) コンシューマーが無料の@gmail.comからGCPを利用する場合は、特に意識することなく自分(ユーザー)がプロジェクトオーナーであり、請求先アカウント管理者となります。 G Suite や Google Cloud Identity を使って複数ユーザーを管理する場合、組織のアカウントの請求先アカウントを1
Google Cloudの組織(Organization)を徹底解説 - G-gen Tech Blog
G-gen の杉村です。Google Cloud (旧称 GCP) には組織 (Organization) という概念があります。ガバナンスとセキュリティのために重要なこの機能を解説します。 組織の基本 組織 (Organization) とは リソースの階層構造 組織リソース フォルダ・プロジェクト 組織のメリット・ユースケース 組織を使う理由 複数プロジェクト管理 利用可能なサービス・機能 組織を使わないリスク 組織の作成 Google Workspace (Cloud Identity) と Google Cloud 組織の作成方法 組織作成直後の特権 組織の表示 階層構造 (ツリー) の表示 表示に必要な権限 組織の管理 組織の管理者ロール 強力な管理権限 管理の委任 監査 組織と Cloud Audit Logs 監査ログの収集 組織 (Resource Manager) 自体の
GCPプロジェクトを組織間で移行した時の話 | MoT Lab (GO Inc. Engineering Blog)
Mobility Technologies(MoT)では、MoTの前身の時代から、Googleが提供しているクラウドインフラサービス群であるGoogle Cloud Platform(GCP)を利用していました。MoTが新しくスタートするにあたり、以前まで、各々の会社のGoogle Cloudの組織内で作成し運用していたGCPプロジェクトを、MoT名義のGoogle Cloudの組織内で管理するため、必要なGCPプロジェクトの精査を行ったのち、組織間の移行作業を実施しました。 今回は、この時に実施した組織間でGCPプロジェクトを移行した事例を紹介できればと思います。 はじめに SREグループ・ヒロチカです。Mobility Technologies(MoT)では、サービスのクラウドインフラの設計から構築・運用までを担当しています。 MoTは、JapanTaxi株式会社と株式会社ディー・エヌ
Cloud IAMについてまとめてみた
今年4月に入社した新井です。 Cloud IAMについて調べてみました。 IAMの役割 IAMは「誰が」「どのような操作を」「何に対して」行えるのかを設定して、他のリソースへのアクセスを防ぐ役割があります。IAMを使用することで最小権限のセキュリティ原則を導入することもできます。 IAMの構成 IAMは大きく3つの要素で構成されています。 Google Cloud (GCP).「IAM の概要」. https://cloud.google.com/iam/docs/overview?hl=ja, (参照 2022-11-27) 1. IAMポリシー どのプリンシパルにどのロールが付与されているかを定義し適応するものです。IAMポリシーは「バインディング」「監査構成」「メタデータ」で構成されています。 バインディング バインディングとは、1つ以上のプリンシパル(メンバー)を1つ以上のロールに
【Google Cloud IAM】少人数チームでメンバーの権限を管理する
Google Cloudを使った少人数のプロジェクトで、開発メンバーごとにサービスへのアクセス権限を管理するIAM設定についてまとめておきます。 「少人数のプロジェクト」と絞ったのはGoogle Cloud IAMのドキュメントを読むと設定のパターンが色々とあって混乱しやすいと感じたからです。「とりあえず小さく共同開発をはじめる」というケースに絞って紹介します。 より良い方法をご存知の方はコメントで指摘していただけるとありがたいです。 Google CloudのIAMの考え方 Google CloudのIAMについてまず知っておきたい3つの要素があります。 ※ かいつまんだ説明なので詳しくはIAMの仕組みをどうぞ。 メンバー: 誰に権限を付与するか。個人のGoogleアカウントや、Googleグループ、組織[1]など ロール: 何の権限を付与するか。「AppEngineの管理権限とLogs
【GCP】Cloud IAMの概念を整理してみた
はじめに IAMを触る時、「ロールとポリシーの関係ってなんだっけ?」、「サービスアカウントってなんだっけ?」と毎回調べて雰囲気のまま使っていました。 今回は、再度勉強しなおしてCloud IAMについて纏めてみました。 Cloud IAMとは Cloud IAMとは「誰(ID)」が「どのリソースに対して」「どのようなアクセス権(ロール)」を持つかを定義することにより、アクセス制御を管理できます。 例えば、下記のようなこと設定をすることがで、適切なアクセル管理をすることが可能です。 「開発者A」に「Cloud FunctionsとPub Sub」の「閲覧と編集」を行える 「Cloud Functionsの関数A」は「Cloud Strage」の「作成」のみを行える Cloud IAMの概念 公式ドキュメンに正しく詳細な説明があるので、こちらも参照いただければです。 ここでは自分が理解したもの
IAM を安全に使用する | IAM のドキュメント | Google Cloud
フィードバックを送信 IAM を安全に使用する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このページでは、IAM を使用する際に留意いただく必要があるセキュリティに関するベスト プラクティスをご紹介します。 このページは IAM に精通しているユーザーを対象としています。IAM を使い始めたばかりの方は、こちらの説明をお読みいただいても IAM の使い方は書かれていないため、IAM クイックスタートをまずお読みください。 最小限の権限 基本ロールには、すべての Google Cloud サービスにかかわる多くの権限が含まれます。本番環境では、他に選択肢がない限り、基本ロールを付与しないでください。代わりに、ニーズに合わせて最も制限された事前定義ロールまたはカスタムロールを付与します。 基本ロールを置き換える必要がある場合は、ロールの推奨事項を使用して
TerraformでGoogle CloudのIAMを管理する際の注意点 - G-gen Tech Blog
G-gen の堂原です。 当記事では、Terraform を用いて Google Cloud (旧称 GCP) の Identity and Access Management (IAM) を管理する際に、注意すべき点について紹介します。 はじめに google_xxx_iam の使い分け google_project_iam_xxx の使い分けと注意点 google_project_iam_policy google_project_iam_binding google_project_iam_member はじめに 改めて、当記事では Terraform を用いて Google Cloud の IAM を管理する際に注意すべき点として、 具体的には google_project_iam_policy、google_project_iam_binding 及び google_projec
これで分かった!Google CloudのIAMの仕組みやAWSとの違い - G-gen Tech Blog
G-genの杉村です。Google Cloud (旧称 GCP) の Identity and Access Management(略称 IAM)は、きちんと使いこなすことで強力なセキュリティ統制を効かせることができます。本投稿では、その内部構造まで解き明かしていきます。 Cloud IAM とは ID (アカウント) Google Cloud におけるアカウント管理 AWS の IAM User との違い Google アカウントとグループ サービスアカウント 解説記事 IAM の仕組み IAM とリソースの関係 継承 許可と拒否 IAM の内部構造 (IAM Policy とは) gcloud コマンドによる IAM Policy 操作 AWS IAM との比較と連携 概要 ID (IAM User) 概念の違い 用語の違い AWS IAM と Google Cloud IAM の連携
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
