呼び出しを認証する | Cloud Functions Documentation | Google Cloud
呼び出しを認証する 認証された Cloud Functions を呼び出すには、基盤となるプリンシパルが次の要件を満たしている必要があります。 関数を呼び出す権限を持っている。 関数を呼び出すときに ID トークンを提供する。 プリンシパルとは何でしょうか。Cloud Functions の保護で説明されているように、Cloud Functions は次の 2 種類の ID をサポートしています。これらはプリンシパルとも呼ばれます。 サービス アカウント: 関数、アプリケーション、VM など、人以外の ID として機能する特別なアカウントです。これにより、人以外の認証を行うことができます。 ユーザー アカウント: 個々の Google アカウント所有者、または Google グループのような Google が管理するエンティティの一員など、人を表します。 基本的な IAM コンセプトの詳細
サービス アカウント キーを無効にする | IAM のドキュメント | Google Cloud
サービス アカウント キーを無効にする コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 IAM サービス アカウント キーを無効にする方法を示します。 もっと見る このコードサンプルを含む詳細なドキュメントについては、以下をご覧ください。 サービス アカウント キーの無効化と有効化 コードサンプル Java IAM のクライアント ライブラリをインストールして使用する方法については、IAM クライアント ライブラリをご覧ください。詳細については、IAM Java API のリファレンス ドキュメントをご覧ください。 IAM で認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。 import com.google.api.client.googleapis.javanet.Googl
GAE/Pythonでサービスアカウントキーファイルを使わないようにした - Pirika Developers Blog
こんにちは。ピリカ開発チームの伊藤です。 GCPの各種サーバーレスサービスにアクセスするには、認証情報が必要となります。App EngineやCloud Functions上で動作している場合は、GCPの各種ライブラリを使っていれば特に何もしなくても認証が通った状態となり、FirestoreやCloud Storageなどを扱うことができるようになっています。 しかし、ローカルでの動作確認を行う場合など、GCP外で動く場合には認証情報を渡す必要があります。 これまで、ローカルでの認証のためには「サービスアカウントキー」というJSONファイルを取得することが多かったのですが、サービスアカウントキーファイルが漏洩した場合に検知が難しいなどの問題があり、最近は非推奨となっています。 では具体的にどのようにすれば良いのかというと、あまりまとまった情報がありませんでした。 今回は、GAE/Pytho
Cloud Functions の呼び出しを許可されたアカウントのみが実行できるよう制御する方法 - G-gen Tech Blog
G-gen の又吉です。当記事では、Cloud Functions の呼び出しを許可されたアカウントのみが実行できるよう制御する方法を紹介します。 概要 背景 構成 準備 必要な API の有効化 サービスアカウントの作成 functions-2 関数のサービスアカウント作成 functions-3 関数のサービスアカウント作成 フォルダ構成 functions_1/main.py functions_1/requirements.txt functions_2_3/main.py functions_2_3/requirements.txt Cloud Functions の作成 functions-1 関数の作成 functions-2 関数の作成 functions-3 関数の作成 権限の付与 動作確認 実行 1 実行 2 もう少し深堀ってみる curl コマンドで実行 トークンの確
Workforce Identity Federation を利用する
はじめに アプリケーションモダナイゼーションスペシャリストの関本と申します。 今回は、Google Cloud Japan Advent Calendar の 8 日目の投稿として、アプリケーションモダナイゼーションとあまり関係がない、Workforce Identity Federation についてご紹介します。 TL;DR Workforce Identity Federation を利用すると Cloud Identity を利用せずに他の IdP(Microsoft Entra ID などの外部 ID プロバイダー) の ID で Google Cloud を利用できます。 Workforce Identity Federation とは? Google Cloud の外部(他のクラウドや Kubernetes など)で実行されているアプリケーションが、Service Accou
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン) - Qiita
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン)AWSSSOaws-ssoIAM_Identity_Center はじめに 仕事で初めてIAM Identity Centerを使う機会があり、使ってみたらマルチアカウントの管理が想像以上にやりやすかったので、紹介しようと思います。 【次】IAM Identity Centerを使って複数アカウント管理する。(その2:CLIでのアクセスと管理の委任) IAM Identity Centerとは AWS Single Sign-onの後継サービスとなり、AWS Organizationsで複数アカウントを運用している環境で各ユーザを集約管理し、各アカウントへのログインを簡単に行えるようにするためのサービスです。 前提として、AWS Organizationsを使
Professional Google Workspace Administrator試験対策マニュアル - G-gen Tech Blog
G-gen の杉村です。 Google Cloud (GCP) 認定試験の一つである Professional Google Workspace Administrator 試験 (旧称 Professional Collaboration Engineer) は、 Google の提供するグループウェアである Google Workspace の専門知識を問う試験です。当記事では試験合格に役立つ内容をご紹介します。 はじめに Professional Google Workspace Administrator とは 難易度 学習方法 注意点・出題傾向 ディレクトリ設計・管理 組織部門設計 カスタムディレクトリ 設定グループ データリージョン ドメイン名(セカンダリドメイン) アカウント保護 コンテキストアウェアアクセス コンプライアンス(Google Vault) Google Vau
GCP の IAM をおさらいしよう
この記事は Google Cloud Japan Customer Engineer Advent Calendar 2019 の 6日目の記事です。 TL;DR本記事ではGoogle Cloud Platform (GCP) での ユーザーや権限を管理する IAM について整理していきます。 はじめにクラウドを使う上で、ユーザー管理や権限管理は重要ですよね。GCP を使う際に、どのようにユーザー管理できるのか、権限管理や認証を整理してみようと思います。GCP では権限管理を Identity and Access Management( IAM )というもので管理しています。IAMでは、誰が、どのような操作を、何に対して行えるかというものを定義・管理します。これによりアカウントの追加・削除や権限付与がシンプルになり、管理が容易になります。 IAMのユーザーと権限GCP で利用できるアカウ
GCPの別プロジェクトにIAM権限をコピーする - UGA Boxxx
GCPにすでにある検証環境プロジェクトをクローンして開発環境プロジェクトをつくる際にIAM権限のコピーを行ったときのメモ 1. コピー元プロジェクトのIAMのエクスポート $ gcloud projects get-iam-policy <プロジェクトID> --format json > IAM.json 2. サービスアカウントのプロジェクト番号を変更 IAM.json内のプロジェクト番号をコピー元からコピー先に変更する プロジェクト番号の確認 $ gcloud projects describe <プロジェクトID> | grep projectNumber 確認したら、そのプロジェクト番号でIAM.json内のプロジェクト番号を全置換 3. etagの情報削除 IAM.json内にetagが存在しているとインポート時に現行リソースとファイル内のetag情報のチェックが行われ、一致し
Google Cloud:プロジェクトの組織間移行について解説 | DevelopersIO
今回はドメイン保持の関係により、組織間プロジェクト移行の解説のみになります。機会があれば、「実際の移行をやってみた」ブログも執筆できればと思います。 Google Cloud 組織間のプロジェクト移行 Google Cloud (旧GCP)のプロジェクト移行は、組織の成長や再構成、または管理の煩雑さを軽減するために行うことがあります。 プロジェクトの移行は、Resource Manager APIを利用することでスムーズに行うことができます。 今回は、公式のホームページの情報をもとに、GCP組織間のプロジェクト移行の方法とその注意点について解説していきます。 組織間のプロジェクト移行とは 先にお伝えした、Resource Manager APIとは、Google Cloudの全リソースを管理するためのAPIになります。 さらに、移行が上手くいかなかった場合や元の構成に戻したい場合などには、
特殊なケースを処理する | Resource Manager Documentation | Google Cloud
フィードバックを送信 特殊なケースを処理する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このトピックでは、プロジェクトの移行中に関連する特殊なケースの処理について説明します。 組織リソースのないプロジェクトの移行 組織リソースに関連付けられていないプロジェクトは、他の組織リソースに移行できます。ただし、このプロセスを使用して [組織なし] に戻すことはできません。組織リソースに関連付けられたプロジェクトがあり、[組織なし] に戻す場合は、サポート担当者にお問い合わせください。 プロジェクトの親組織リソースに対する resourcemanager.organizations.get 権限がない場合、プロジェクトが想定された実際の組織のもとで反映されていない可能性があります。詳細については、ユーザーのプロジェクト公開設定の制限をご覧ください。 組織リソー
IAM Conditionsで特定のGCSバケットのみアクセスできるようにする
通常は、GCPプロジェクトに対してオーナー(Owner)や編集者(Editor)などの権限を付与すると、すべてのGoogle Cloud Storage(GCS)バケットにアクセスできてしまいます。そこで、一部の人に対して、特定のGCSバケットのみアクセスできるようにしたいと思います。 GCSバケットのアクセス制限について調べると、GCSバケット側で権限追加する方法が紹介されています。この方法は簡単なのですが、どのGCSバケットにどのユーザー、サービスアカウントがアクセス許可されているのかがわかりづらいです。 そこで今回は、IAM Conditionsの機能を使って、IAM側でGCSバケットのアクセス制御を行ってみます。 IAM Conditionsとは GCPのIAM(Cloud IAM)において、リソース名や時間などを条件にアクセス制御を定義する機能です。AWS IAMにおいてポリシー
BigQueryの権限管理について | Hakky Handbook
はじめに これから Google Cloud を使ったデータ分析基盤を構築する方のために、BigQuery の権限管理について紹介します。 BigQuery のアクセス権限設定のコンポーネント BigQuery では、誰(プリンシパル)に何(対象レイヤ)に対してどのような権限を与えるかを設定することができます。 プリンシパル 具体的な人間やアカウント Google アカウント サービス アカウント Google グループ Google Workspace ドメイン Cloud Identity ドメイン 対象レイヤ 権限範囲の対象 組織、フォルダ、プロジェクト BigQuery データセット BigQuery テーブル、ビュー、関数 BigQuery テーブルの行単位、列 権限 具体的な権限 こちらを参照 BigQuery のロール ロールとは、様々な権限がセットになっているものです
【R&D DevOps通信】データ基盤におけるGoogleグループ・IAMによるアクセス制御 - Sansan Tech Blog
研究開発部 Architectグループにてデータエンジニアとしてデータ基盤の開発・運用を担当しているジャン(a.k.a jc)です。 データ基盤の構築はETL処理の実装やパイプラインの監視だけでなく、セキュリティ、データアクセス制御管理もデータエンジニアリングライフサイクルの一環として、重要な存在になっています*1。データ基盤の第四弾となる今回は、BigQuery上に構築したデータ基盤におけるGoogleグループ・IAMによるアクセス制御を中心に紹介したいと思います。 また、過去のデータ基盤関連の記事も併せてお読みいただければと思います。 【R&D DevOps通信】データ基盤におけるGitHub Actionsを使ったTerraformとCloud ComposerのCI/CD - Sansan Tech Blog 【R&D DevOps通信】Cloud Composerを用いたデータ基
Google Cloud Storage(GCS)にIP制限をかける with Terraform - Qiita
はじめに 本記事はQualiArts Advent Calendar 2020 14日目の記事です。 今回は、Google Cloud Platform (GCP)のオブジェクトストレージであるGoogle Cloud Storage (GCS)に対して、同じくGCPのサービスであるVPC Servive Controls (VPC-SC)とAccess Context Manager (ACM)でIP制限をかける構成の紹介と、その構成をTerraformで管理する方法についてまとめます。 なお、Access Context Managerの一般的に広まっている略語を見つけられなかったため、本記事では勝手にACMとしています。(AWS Certificate Managerと被ってしまいますがご了承ください。) 前提知識 VPC Servive Controls https://cloud
Google Cloud でサービス アカウントの権限借用(impersonate)を活用して SRE の権限を縮小させた話 - オールアバウトTech Blog
こんにちは。オールアバウト SRE 所属 の@s_ishiiと申します。 Google Cloud にはサービス アカウントの権限借用という機能があります。この機能を活用することで普段の運用をより安全にすることができます。この記事ではオールアバウトが導入・実践しているサービス アカウントの権限借用に関して解説します。 前提 オールアバウトでは SRE が全サービスのインフラを一元的に管理しています。このため SRE は全ての Google Cloud のプロジェクトに対してオーナー権限(roles/owner)を保持していました。 SRE メンバー全員がインフラを自由に変更できてしまうため、普段から Google Cloud のコンソール画面で設定を変更してしまわないよう注意しながら運用する必要がありました。 こうした状況を解決する手段としてサービス アカウントの権限借用の活用を検討し始め
Cloud IAMの権限不足エラーへの対処方法 (403 Permission 〜 denied) - G-gen Tech Blog
G-gen の武井です。 Google Cloud (旧称 GCP) の Cloud IAM (Identity and Access Management) にて、権限不足に伴うエラーが発生した場合の対処方法について説明したいと思います。 Cloud IAM 簡単なおさらい 用語 図説 IAM ロール 事象 対処方法 原因と対処法の確認 最適な IAM ロールの選択 IAM permissions reference Understanding roles IAM ロールの付与 簡単なおさらい 本題の説明に入る前に、まずは基本事項について簡単に振り返りたいと思います。 用語 Cloud IAM を理解する上で重要な用語と、それらの意味は以下のようになります。 用語 意味 Google アカウント IAM の実行主体 (人) Google グループ 上記をグループ化したもの サービスアカウ
IAM を使用したフォルダのアクセス制御 | Resource Manager Documentation | Google Cloud
フィードバックを送信 IAM を使用したフォルダのアクセス制御 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。 IAM では、IAM ポリシーを設定して、誰(どのユーザー)に、どのリソースに対するどのアクセス権(役割)を付与するかを制御することができます。IAM ポリシーは、特定の役割をユーザーに付与することで、そのユーザーに特定の権限を付与します。 このページでは、フォルダレベルで使
GCP の Cloud IAM に登場する基本概念まとめ + AWS IAM との対応 - Qiita
AWS を使うことが多かった自分が GCP をさわったところ、Cloud IAM に登場する用語が AWS の IAM と違うことで非常に混乱しました。 そこで、過去に AWS の IAM1 や Kubernetes の RBAC2 についてまとめたのと同じように、GCP の Cloud IAM に登場する基本概念をまとめました。 ※ 基本を理解するための記事なので、厳密ではない表現をしている箇所があります ※ Cloud IAM 初心者のため、間違いがあるかもしれません。見つけた方はご指摘ください Cloud IAM に登場する基本概念の全体像 整理した概念の全体像は以下の通りです。 AWS と比べながら順に説明していきます。 各概念の説明 メンバー GCP では IAM によって権限を付与できる対象を「メンバー」と言います。 「メンバー」には、 Google アカウント サービスアカウ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GCPのプロジェクトを別の組織に移行するときの注意点 - めもめもpaoooooon