Identity and Access Management (IAM)

IAM Deny policies(拒否ポリシー)を使った予防的統制

G-gen の武井です。当記事では IAM Deny policies(拒否ポリシー)を使った予防的統制について解説します。 はじめに 当記事について 予防的統制 拒否ポリシー 拒否ポリシーの使い所 拒否ポリシーと組織のポリシーの違い 検証の概要 目的 前提 環境 必要な I…

[Action Required] Ensure read access on container images deployed to Cloud Run

2024年11月25日、Google Cloud から管理者宛てに「[Action Required] Ensure read access on container images deployed to Cloud Run」というタイトルのメール通知がありました。当記事では、通知の内容とユーザー側で必要なアクション、影響範囲の確認方法…

「サービス アカウント キーの作成が無効になっています」への対処法

G-gen の杉村です。Google Cloud(旧称 GCP)で、サービスアカウントから認証キーを作成しようとした際に サービス アカウント キーの作成が無効になっています 組織ポリシーの制約「iam.disableServiceAccountKeyCreation」が組織に適用されています。 と表…

Google CloudのIAMで最小権限の原則を実現する方法

G-gen の杉村です。当記事では、Google Cloud の IAM(Identity and Access Management)で最小権限の原則を実現するための手段をご紹介します。 IAM と最小権限の原則 過剰な権限を予防する IAM の仕組みを正確に理解する IAM 権限を操作できる人を限定する…

Privileged Access Manager(PAM)を解説!

G-genの山崎です。Google Cloud(旧称 GCP)の Privileged Access Manager(PAM)を用いた権限管理について解説します。 Privileged Access Manager(PAM) とは PAM の利用方法 利用資格 利用資格とは 付与する IAM ロール 権限を付与する最大時間 申請者と…

Cloud Storage(GCS)のマネージドフォルダを用いた権限管理

G-genの山崎です。 Google Cloud (旧称 GCP) の Cloud Storage でフォルダ単位での権限管理が可能となるマネージドフォルダを用いた権限管理方法について、解説します。 Cloud Storage とは フォルダを用いたオブジェクトの管理 シミュレートされたフォルダ…

What's new with IAM(Google Cloud Next '24セッションレポート)

G-gen の藤岡です。本記事は Google Cloud Next '24 in Las Vegas の1日目に行われた Breakout Session「What's new with IAM」のレポートです。 他の Google Cloud Next '24 の関連記事は Google Cloud Next '24 カテゴリの記事一覧からご覧いただけます。 …

サービスアカウントキーの漏洩検知・自動無効化を試してみた

G-gen の杉村です。Google Cloud では、「サービスアカウントキーの漏洩レスポンス(Service account key exposure response)」という組織ポリシーの制約により、サービスアカウントキーがパブリックな Git レポジトリ等に漏洩した場合でも、自動的に検知さ…

組織外のユーザーにプロジェクトレベルでオーナーを付与する際の注意点

G-gen の藤岡です。当記事では、Google Cloud(旧称 GCP)で組織外のユーザーにプロジェクトレベルでオーナー(roles/owner)を付与する際の注意点について紹介します。 はじめに・前提知識 IAM と ID 管理 組織外のユーザー 組織外のユーザーにプロジェクト…

GCEからGCS操作時の権限エラーでサービスアカウントのIAM以外に疑うこと

G-gen の藤岡です。当記事では、Google Cloud (旧称 GCP) の Compute Engine VM から Cloud Storage バケットを操作する時に起きる権限エラーについて、実際のエラー内容からサービスアカウントの IAM 権限以外に疑うこと、その対処法について紹介します。 …

プロキシ経由でgcloudコマンドが失敗。サービスアカウントが使えない

G-gen の杉村です。Compute Engine の VM で Squid 等の HTTP プロキシサーバ経由でインターネットへ出るような構成を取った際、gcloud コマンドが不可解なエラーメッセージと共に失敗しました。今回はその事象と、解決方法をご紹介します。 事象 やろうとし…

TerraformでGoogle CloudのIAMを管理する際の注意点

G-gen の堂原です。 当記事では、Terraform を用いて Google Cloud (旧称 GCP) の Identity and Access Management (IAM) を管理する際に、注意すべき点について紹介します。 はじめに google_xxx_iam の使い分け google_project_iam_xxx の使い分けと注意点…

gcloudとjqでGoogle Cloudのリソース情報を取得(IAM編)

G-gen の武井です。 当記事は gcloud と jq コマンドシリーズの第2弾として、Google Cloud (旧称 GCP) の IAM に関する情報の取得方法についてご紹介します。 組織 / フォルダ / プロジェクト 編の記事 組織の IAM Policy IAM ポリシーの表示 プリンシパルの…

キーを使用せずに AWS から Google Cloud にアクセスする方法

G-gen の藤岡です。当記事では、 Workload Identity 連携を使う ことで Amazon Web Services(以下 AWS)の EC2 から Google Cloud(旧称 GCP)の Cloud Storage(以下 GCS)への操作を サービスアカウントキーを発行せず に実現する方法を紹介します。 なお…

サービスアカウントキーの作成が失敗。メッセージは「不明なエラーです」のみ

G-gen の杉村です。ある Google Cloud 組織でサービスアカウントキーを発行しようとしたところ 不明なエラーです。 というメッセージと共に作成が失敗した事象が起きました。原因と対策を紹介します。 事象 調査 サービスアカウントキー作成の失敗ログ 同時…

サービスエージェントとは何か

G-gen の杉村です。Google Cloud (旧称 GCP) の Cloud IAM には サービスエージェント という仕組みがあります。これについて解説します。 概要 サービスエージェントとは サービスエージェントとサービスアカウントの違い Compute Engine (GCE) 概要 用途 …

Cloud IAMの権限不足エラーへの対処方法 (403 Permission 〜 denied)

G-gen の武井です。 Google Cloud (旧称 GCP) の Cloud IAM (Identity and Access Management) にて、権限不足に伴うエラーが発生した場合の対処方法について説明したいと思います。 Cloud IAM 簡単なおさらい 用語 図説 IAM ロール 事象 対処方法 原因と対…

Google CloudのIAMにおけるDenyポリシーを解説

G-genの杉村です。 Google Cloud(旧称 GCP)の Identity and Access Management(IAM)における拒否ポリシー(Deny policies)について解説します。 はじめに IAM とは 拒否ポリシーとは IAM ポリシーの評価順 仕組み 拒否ポリシーの性質 拒否ポリシーを管…

改めてサービスアカウントとVMのアクセススコープを理解する

G-gen の渡邉@norry です。Compute Engine (GCE) にアタッチする サービスアカウント と VM の アクセススコープ の概念について整理してみました。 はじめに 前提知識 サービスアカウントとアクセススコープ Cloud IAM 検証 アクセススコープ = デフォルト…

BigQueryのアクセス制御と権限設計を解説

G-genの杉村です。BigQuery への認証・認可は Cloud IAM によって制御されますが、その仕組みは複雑です。当記事では、仕組みを詳細に解説します。 はじめに BigQuery と認証・認可 IAM の基本概念 BigQuery 関連の IAM 権限の理解 ジョブ実行とデータアクセ…

Google Cloud(旧GCP)利用してみたい!けど最初に対応すべきことは?初期設定のベストプラクティスを解説!

最初に対応すべきチェックリストの確認方法 組織とID ユーザーとグループ 管理者アクセス お支払い リソース階層 リソースのアクセス ネットワーキング モニタリングとロギング セキュリティ サポート こんにちは!G-genの小林です。 みなさんGoogle Cloudは…

これで分かった!Google CloudのIAMの仕組みやAWSとの違い

G-genの杉村です。Google Cloud(旧称 GCP)の Identity and Access Management(略称 Cloud IAM)は、きちんと使いこなすことで強力なセキュリティ統制を効かせることができます。本投稿では、その内部構造まで解き明かしていきます。 Cloud IAM とは ID(…