IAM on Marketechlabohttps://www.marketechlabo.com/tags/iam/Recent content in IAM on MarketechlaboHugo -- gohugo.ioja-jpWed, 12 Jan 2022 00:00:00 +0900GCPのIAMポリシーhttps://www.marketechlabo.com/server-infrastructure/gcp-iam-policy/Wed, 12 Jan 2022 00:00:00 +0900https://www.marketechlabo.com/server-infrastructure/gcp-iam-policy/ <h1 id="gcpのiamポリシー権限設定">GCPのIAMポリシー(権限設定)</h1> <h2 id="gcpにおける階層と言葉の定義">GCPにおける階層と言葉の定義</h2> <ul> <li>組織</li> <li>(フォルダ)</li> <li>プロジェクト</li> <li>各種リソース <ul> <li>Cloud Storage</li> <li>BigQuery</li> <li>Compute Engine<br> :</li> </ul> </li> </ul> <p><figure> <picture> <img loading="lazy" decoding="async" alt="iam-resource-hierarchy.png" class="image_figure image_internal image_unprocessed" src="/images/gcp/iam-resource-hierarchy.png" /> </picture> </figure> プロジェクトとリソースを中心に考える。 フォルダや組織はプロジェクトを便宜的に束ねるもの。フォルダや組織は設定しなくてもいい →後述するが、組織/プロジェクト/リソース単位で権限設定ができる</p> <h2 id="アカウント">アカウント</h2> <p>アカウントには2種類</p> <h3 id="ユーザーアカウント">ユーザーアカウント</h3> <ul> <li>Googleのログイン画面からログインできるアカウント</li> <li>人間ユーザ。異動や退職とともにアカウントがなくなるケースも想定する必要がある</li> <li>一部のGoogleアカウントではアカウント単位のコストが発生することも想定する(つまり有限個しか発行できない)</li> <li>Googleアカウントである必要がある→認証はメールアドレスとパスワードで行う <ul> <li>Gmail</li> <li>Workspace</li> <li>Cloud Identity</li> </ul> </li> </ul> <h3 id="サービスアカウント">サービスアカウント</h3> <ul> <li>システムがGCPにアクセスする際に使うアカウント</li> <li>Googleのログイン画面からログインすることはない</li> <li>異動や退職で使えなくなるケースはない</li> <li>メールアドレス形式<code>service-account-name@project-id.iam.gserviceaccount.com</code></li> <li>認証は主にJSONの鍵ファイルを使って行う</li> <li>アカウントごとのコストは発生しないので実質無限個発行できると考えていい</li> </ul> <h2 id="アカウントと権限の紐付けのパターン">アカウントと権限の紐付けのパターン</h2> <p>出てくる言葉</p> <ul> <li>アカウント</li> <li>グループ</li> <li>ロール</li> <li>権限</li> </ul> <p>目的:アカウントと権限を紐づけること。その間のハブとしてグループやロールがあると考えればいい アカウントと権限がある <figure> <picture> <img loading="lazy" decoding="async" alt="iam-policy-1.png" class="image_figure image_internal image_unprocessed" src="/images/gcp/iam-policy-1.png" /> </picture> </figure> これをこのように紐づけたい <figure> <picture> <img loading="lazy" decoding="async" alt="iam-policy-2.png" class="image_figure image_internal image_unprocessed" src="/images/gcp/iam-policy-2.png" /> </picture> </figure> 複数のアカウントに対して <figure> <picture> <img loading="lazy" decoding="async" alt="iam-policy-3.png" class="image_figure image_internal image_unprocessed" src="/images/gcp/iam-policy-3.png" /> </picture> </figure> </p> <h3 id="ロール">ロール</h3> <p>直接アカウントと権限を紐づけるのではなく、ロールを介して設定する <figure> <picture> <img loading="lazy" decoding="async" alt="iam-policy-4.png" class="image_figure image_internal image_unprocessed" src="/images/gcp/iam-policy-4.png" /> </picture> </figure> ロールの例 ストレージオブジェクト閲覧者 <code>roles/storage.objectViewer</code> 付随する権限</p> <ul> <li><code>resourcemanager.projects.get</code></li> <li><code>resourcemanager.projects.list</code></li> <li><code>storage.objects.get</code></li> <li><code>storage.objects.list</code></li> </ul> <p>Cloud Storageでファイル一覧を表示してダウンロードするには複数の権限を設定する必要がある。それを「オブジェクト閲覧者」という一般的な役割単位で束ねたものをロールという。 GCPには<a href="https://cloud.google.com/iam/docs/understanding-roles?hl=ja#predefined_roles">事前定義ロール</a>が用意されている。これ以外に柔軟にユーザ定義ロールを設定することも可能。 ※基本ロールは使わない(実運用には粒度が荒すぎる) つまりロールというのは、GCP内の細かい権限体系を使いやすい単位のちょうどいい粒度にまとめたものである。</p>