Identity and Access Management (IAM)
G-gen の藤岡です。本記事は Google Cloud Next '24 in Las Vegas の1日目に行われた Breakout Session「What's new with IAM」のレポートです。 他の Google Cloud Next '24 の関連記事は Google Cloud Next '24 カテゴリの記事一覧からご覧いただけます。 …
G-gen の杉村です。Google Cloud では、「サービスアカウントキーの漏洩レスポンス(Service account key exposure response)」という組織ポリシーの制約により、サービスアカウントキーがパブリックな Git レポジトリ等に漏洩した場合でも、自動的に検知さ…
G-gen の藤岡です。当記事では、Google Cloud(旧称 GCP)で組織外のユーザーにプロジェクトレベルでオーナー(roles/owner)を付与する際の注意点について紹介します。 はじめに・前提知識 IAM と ID 管理 組織外のユーザー 組織外のユーザーにプロジェクト…
G-gen の藤岡です。当記事では、Google Cloud (旧称 GCP) の Compute Engine VM から Cloud Storage バケットを操作する時に起きる権限エラーについて、実際のエラー内容からサービスアカウントの IAM 権限以外に疑うこと、その対処法について紹介します。 …
G-gen の杉村です。Compute Engine の VM で Squid 等の HTTP プロキシサーバ経由でインターネットへ出るような構成を取った際、gcloud コマンドが不可解なエラーメッセージと共に失敗しました。今回はその事象と、解決方法をご紹介します。 事象 やろうとし…
G-gen の堂原です。 当記事では、Terraform を用いて Google Cloud (旧称 GCP) の Identity and Access Management (IAM) を管理する際に、注意すべき点について紹介します。 はじめに google_xxx_iam の使い分け google_project_iam_xxx の使い分けと注意点…
G-gen の武井です。 当記事は gcloud と jq コマンドシリーズの第2弾として、Google Cloud (旧称 GCP) の IAM に関する情報の取得方法についてご紹介します。 組織 / フォルダ / プロジェクト 編の記事 組織の IAM Policy IAM ポリシーの表示 プリンシパルの…
G-gen の藤岡です。当記事では、 Workload Identity 連携を使う ことで Amazon Web Services(以下 AWS)の EC2 から Google Cloud(旧称 GCP)の Cloud Storage(以下 GCS)への操作を サービスアカウントキーを発行せず に実現する方法を紹介します。 なお…
G-gen の杉村です。ある Google Cloud 組織でサービスアカウントキーを発行しようとしたところ 不明なエラーです。 というメッセージと共に作成が失敗した事象が起きました。原因と対策を紹介します。 事象 調査 サービスアカウントキー作成の失敗ログ 同時…
G-gen の杉村です。Google Cloud (旧称 GCP) の Cloud IAM には サービスエージェント という仕組みがあります。これについて解説します。 概要 サービスエージェントとは サービスエージェントとサービスアカウントの違い Compute Engine (GCE) 概要 用途 …
G-gen の武井です。 Google Cloud (旧称 GCP) の Cloud IAM (Identity and Access Management) にて、権限不足に伴うエラーが発生した場合の対処方法について説明したいと思います。 Cloud IAM 簡単なおさらい 用語 図説 IAM ロール 事象 対処方法 原因と対…
G-genの杉村です。 Google Cloud (旧称 GCP) の Identity and Access Management (IAM) における 明示的な Deny ポリシー についての解説記事です。 IAM の Deny policy が 2022/03/03 に Preview 公開、2022/10/25 に GA されました。この発表までは IAM Po…
G-gen の渡邉@norry です。Compute Engine (GCE) にアタッチする サービスアカウント と VM の アクセススコープ の概念について整理してみました。 はじめに 前提知識 サービスアカウントとアクセススコープ Cloud IAM 検証 アクセススコープ = デフォルト…
G-genの杉村です。BigQuery への認証・認可は Cloud IAM によって制御されますが、その仕組みは複雑です。当記事では、仕組みを詳細に解説します。 はじめに BigQuery と認証・認可 IAM の基本概念 BigQuery 関連の IAM 権限の理解 ジョブ実行とデータアクセ…
最初に対応すべきチェックリストの確認方法 組織とID ユーザーとグループ 管理者アクセス お支払い リソース階層 リソースのアクセス ネットワーキング モニタリングとロギング セキュリティ サポート こんにちは!G-genの小林です。 みなさんGoogle Cloudは…
G-genの杉村です。Google Cloud (旧称 GCP) の Identity and Access Management(略称 IAM)は、きちんと使いこなすことで強力なセキュリティ統制を効かせることができます。本投稿では、その内部構造まで解き明かしていきます。 Cloud IAM とは ID (アカウ…
