Cloud Identity-Aware Proxy におけるアクセス制御の仕組み | Google Cloud 公式ブログ
Google Cloud Next '17 において、私たち Google は Cloud Identity-Aware Proxy(Cloud IAP)のベータ版を発表しました。Cloud IAP を使用すると、Google Cloud Platform(GCP)上のウェブ アプリケーションへのアクセスを制御できます。 Cloud IAP に関する前回の投稿では、Cloud IAP の概要と、Cloud IAP によるアクセス制御が、従来の LAN や VPN などにおける境界ベースのアクセス制御よりも簡単で安全なことを説明しました。今回はさらに踏み込んで、Cloud IAP の仕組みと、その開発過程で私たちが行った技術上の決定について解説します。 Cloud IAP の仕組み リクエストが App Engine か Cloud Load Balancing HTTP(S) に送信される
署名付きヘッダーによるアプリの保護 | Identity-Aware Proxy | Google Cloud
フィードバックを送信 署名付きヘッダーによるアプリの保護 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このページでは、署名付きの IAP ヘッダーを使用してアプリを保護する方法について説明します。Identity-Aware Proxy(IAP)を構成すると、JSON Web Token(JWT)によってアプリに対するリクエストが承認されます。アプリは次のようなリスクから保護されます。 IAP が誤って無効化される ファイアウォールの設定が誤っている プロジェクト内からのアクセス アプリを適切に保護するには、すべてのアプリの種類に対して署名付きヘッダーを使用する必要があります。 また、App Engine スタンダード環境アプリを使用している場合は、Users API を使用できます。 Compute Engine と GKE のヘルスチェックには J
GoogleSignInを本番環境向けに設定して申請したら大変だった話 - MONEX ENGINEER BLOG │マネックス エンジニアブログ
こんにちは。マネックス・ラボでferciを開発している佐藤です。今回は、GoogleSignInで本番環境を意識した設定行った上で本番環境での利用を申請しようとしたところ、わからないことが多くて時間を使ってしまったので、本番環境を想定した設定の流れと、ハマりどころを書き残したいと思います。 Googleのロゴは勝手に使えないのでマカロンの画像を貼っておきます。 前提 公式のドキュメント GCPの準備 OAuth2.0クライアントIDの登録 OAuth同意画面の設定 「アプリを編集」の設定 アプリ名 ユーザーサポートメール アプリのロゴ画像 アプリのドメイン 承認済みドメイン デベロッパーの連絡先情報 スコープの設定 テストユーザー 本番環境への申請 確認を準備する 省略可能な情報 YouTube動画について 審査で指摘されたこととGoogle担当者とのやり取りについて ハマりどころ ユーザ
Google Cloud のアクセス管理をおさらいしよう 2020アップデート版
この記事は Google Cloud Japan Customer Engineer Advent Calendar 2020 の 2日目の記事です。 TL;DR本記事ではGoogle Cloud でのアクセス管理について整理していきます。 はじめにGoogle Cloud Japan Customer Engineer Advent Calendar 2019 で、Google Cloud の IAM をおさらいしよう という記事を書いたのですが、多くの方に読んでいただいたのですが、逆に多くの方が悩まれるトピックなのだなと感じました。2020年も多くのアップデートがありましたので、改めて Google Cloud の アクセス管理をおさらいしていきましょう。 クラウドを使う上で、ユーザー管理や権限管理は非常に重要です。Google Cloud を使う際に、どのようにユーザー管理できるのか
GKEにデプロイしたアプリケーションをIAP(Identity-Aware Proxy)で保護するまで - Qiita
はじめに 業務都合で、GKEにデプロイしたアプリケーションを、 Identity-Aware Proxy で保護(認証・認可)する方法を調べたので実際の環境構築方法をメモしてみました。 Identity-Aware Proxyとは ざっくりいうと、Googleアカウントによる認証と、ユーザに対する認可を一度にやってくれる機能です。 例えば許可のないユーザには、以下のような画面を出してアクセスをブロックしてくれます。 ただ本来自分たちがやりたいことをどこまで実現できるのかは調査中でして、それは次の記事で調べていこうと思います。 まずは環境構築までを書いてみました。 IAPによりアプリケーションの認証・認可を行う場合の前提条件 GKEに対してIAPを適用するための手順が こちら になります。 まず確認すべきはここに書かれている前提条件。 課金が有効になっている Google Cloud Con
IAP のカスタマイズ | Identity-Aware Proxy | Google Cloud
フィードバックを送信 IAP のカスタマイズ コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 この記事では、Identity-Aware Proxy(IAP)の設定をカスタマイズする方法について説明します。この設定により、以下のような動作を制御できます。 Google Kubernetes Engine での GKE Enterprise と Istio の互換性。 CORS のプリフライト リクエストの処理 ユーザーの認証方法 アクセスが拒否されたときにユーザーに表示されるエラーページ 設定の管理 Google Cloud コンソール、IAP API、または Google Cloud CLI を使用して、ロードバランサと App Engine アプリの IAP 設定を表示および更新できます。 フォルダ、プロジェクト、組織など、すべてのリソースの IAP
外部 ID によるセッションの管理 | Identity-Aware Proxy | Google Cloud
フィードバックを送信 外部 ID によるセッションの管理 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 この記事では、認証に外部 ID を使用する場合に Identity-Aware Proxy(IAP)でセッションを管理する方法について説明します。 セッションの更新 Identity Platform セッションの有効期間は 1 時間です。セッションが期限切れになったら、アプリを認証ページにリダイレクトする必要があります。認証ページには Identity Platform の更新トークンが含まれています。ユーザーの認証情報が有効であれば、UI を表示することなく、その認証情報で再度認証を行うことができます。 ユーザーが最近メールアドレスまたはパスワードを変更したか、別の操作でトークンが取り消された場合は、再度認証フローを完了する必要があります。 AJA
クイックスタート: 外部 ID を使用したユーザーの認証 | Identity-Aware Proxy | Google Cloud
フィードバックを送信 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 外部 ID を使用してユーザーを認証する このクイックスタートでは、Identity-Aware Proxy(IAP)と外部 ID でアプリを保護する方法について説明します。IAP と Identity Platform を組み合わせることで、Google アカウントだけでなく、OAuth、SAML、OIDC など、さまざまな ID プロバイダを使用してユーザーの認証を行うことができます。 このクイックスタートでは、Facebook 認証を使用して App Engine のサンプルアプリを保護します。 始める前に Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。 プロジェクト セレクタに移動
BeyondCorp Enterpriseを徹底解説。 Googleで実現するゼロトラスト・セキュリティ - G-gen Tech Blog
G-gen の杉村です。情報セキュリティの世界でゼロトラストというキーワードが半ばバズワードのように取り上げられるようになってから久しくなりました。Google のゼロトラスト・ソリューションとして BeyondCorp Enterprise があります。 当記事の前半では、BeyondCorp の基本的な概念や構成を説明します。後半 (第4項以降) は、BeyondCorp の各構成要素を詳細に説明しますので、技術者の方向けです。 BeyondCorp Enterprise の概要 BeyondCorp Enterprise とは ゼロトラストセキュリティとは 構成要素 運用 ID(ユーザーアカウント) 外部 ID 連携 監査ログ 料金 BeyondCorp Enterprise の料金 その他の課金 無料範囲 技術的な詳細解説 01. Identity-Aware Proxy (IAP
GCPのVPC(Virtual Private Cloud)に入門する | ゲンゾウ用ポストイット
ゲンゾウ用ポストイット シェル / Bash / Linux / Kubernetes / Docker / Git / クラウドのtipsを発信。 はじめに今まで、GCP の VPC についてあまり意識せずに通信ができていました。 Terraform 化を進めていくタイミングで気がついたのですが、 GCP プロジェクト作成時に 自動的に作成された 「VPC ネットワーク」 をそのまま使っていることがわかりました。 GCP ではこの 自動的に作成された VCP ネットワーク を本番運用で利用することを推奨していないようでしたので、 理解を含めてどうするべきかを考えたいと思いました。 「VPC ネットワーク」と構成要素を理解するかんたんではありますが、VCP ネットワーク の構成要素を図示しました。 +- vpc network ---------------------+ | +-----
急成長するLINE配信対象ユーザー数にGCPアーキテクチャの改善で立ち向かった話 - ZOZO TECH BLOG
はじめに こんにちは、EC基盤本部・MA部・MA基盤チームでマーケティングオートメーションのシステムを開発している長澤(@snagasawa_)です。この記事では、社内で運用しているLINEメッセージ配信基盤の課題を、アーキテクチャ改善によって解決した話をご紹介します。 当時、LINEメッセージ配信基盤では、配信処理を担っていたApp Engineで2つの課題を抱えていました。「メモリ不足による配信処理の中断」と「リクエストタイムアウト後の意図しない処理の継続」です。一時はスケールアップによるメモリ増強を検討しましたが、後者の課題を解決できないためアーキテクチャの変更に着手しました。 結果として、App Engineが担っていた処理をBigQuery・Cloud Storage・Dataflow Batch Jobに置き換えることにより、この2つの課題を解決しました。加えて、配信対象ユーザ
無料で使えるGoogleのIDaaS「Google Cloud Identity Free Edition」を利用してみた | DevelopersIO
みなさん、こんにちは! AWS事業本部の青柳@福岡オフィスです。 今回は、Googleが提供する IDaaS (Identity as a Service) である Google Cloud Identity を使い始めるまでの流れをご紹介したいと思います。 「Google Cloud Identity」とは Googleが提供するユーザーアカウントのサービスと言えば、真っ先に「Googleアカウント」を思い浮かべる方も多いのではないかと思います。 Googleアカウントと「Google Cloud Identity」は何が違うのでしょうか? 大きな違いが、Googleアカウントが個人向けのサービスであるのに対して、Google Cloud Identityは組織 (会社や学校など) 単位でユーザーアカウントの管理ができるサービスという点です。 また、Googleアカウントではユーザーアカ
[GCP] ひとつのサービスアカウントで複数プロジェクトのリソースへアクセスする - Qiita
Hello Kids! キミはもう、たっぷり GCP 使えた ? Google Cloud Certified Professional Cloud Architect とったキミも、 まだまだのキミも、「GCP」 に挑戦だ !! How's your mouth rolling today ! なんとなく、イマクニ の ポケモン言えるかな? が頭をよぎったので書いちゃいました。 おふざけはこれでいいとして現在、PJ で GCP を使っています。 そこで、こんな要件が出てきました。 "ひとつのサービスアカウントで、複数プロジェクトのリソースへアクセスしたい" 要は、下図で説明すると service-account.json を持っている Host から、red-pj が抱える red-topic と yellow-pj が抱える yellow-topic のデータにアクセスをしたいというこ
![[GCP] ひとつのサービスアカウントで複数プロジェクトのリソースへアクセスする - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/3c80a2a7bf085933a4ad3f72f92cade52e0c1b76/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Fadvent-calendar-ogp-background-7940cd1c8db80a7ec40711d90f43539e.jpg%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D120%26mark-y%3D96%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9OTcyJnR4dD0lNDBndXJvbWl0eWFuJnR4dC1jb2xvcj0lMjMzQTNDM0MmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz0xNjhjNTU2ZGJlZjViMTU0ODNiMDBkZWM3YTc0N2ZlOQ%26blend-x%3D120%26blend-y%3D500%26blend-mode%3Dnormal%26s%3D6bfcafb76bdb004f36b19deb7397e453)
Google Cloud Japan Customer Engineer Advent Calendar 2019
https://medium.com/google-cloud-jp から派生したGoogle Cloud Japan の Customer Engineer (CE) が 書く Advent Calendar 2019 です。CE 達が是非紹介したい機能、いままで培ってきたノウハウ、知っておくと便利なTipsなどを公開予定です。 google-cloud-jp はGoogle Cloud Platform 製品などに関連するコミュニティが記載したテクニカル記事集です。掲載された意見はすべて著者個人のものであり、必ずしも Google のものを反映するものではありません。 12/1Kubernetes とGCPの世界をつなぐアクセス管理のはなし (Hiroki Tanaka)12/2Apache Hadoop のデータを BigQuery で分析するための移行手順 ( Keiji Yosh
サーバレスにバッチ処理をしよう!@GCP | Casley Deep Innovations株式会社 技術ブログ
はじめに こんにちは。 キャスレーコンサルティング IT(インテグレーションテック)部の平井です。 今回はGoogle Cloud Platform(以下GCP)で、 サーバレスにバッチ処理を行うアーキテクチャを組んでみようと思います。 1日1回しか動かない処理のために、インスタンスを立ち上げ続けたりしていると、 インスタンスのコストや監視コストが余計にかかってしまいます。 そこでGCPのサービスをフル活用してラクをしよう! というのが本稿の趣旨になります。 目次 1. 事前準備 2. 使用するCGPのサービス - 2.1 Cloud Scheduler - 2.2 Cloud Functions - 2.3 Cloud Dataflow - 2.3.1 Cloud Dataflow Template - 2.4 備考 3. 作成するアーキテクチャの概要 4. Cloud Function
gceにローカルからgcloudで接続できなくなった場合、そうubuntuで。 - Qiita
gceのVMにgcloudで接続できなくなった時 gcloudと書いてるけど、sshでも一緒かもしれない、きっと一緒だ ubuntuと書いてるけど、きっと他のlinuxでも一緒かもしれない gcloudeで接続しようとして下記のエラーが出た場合 junk@junk-VirtualBox:~$ gcloud compute --project "custom-unison-XXXXX" ssh --zone "asia-east1-a" "main" Warning: Permanently added '104.155.XXX.XXX' (ECDSA) to the list of known hosts. Permission denied (publickey). ERROR: (gcloud.compute.ssh) [/usr/bin/ssh] exited with return
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Firebase Service Accounts Overview
GitHub - GoogleCloudPlatform/iap-gcip-web-toolkit
GCPのプロジェクト間でインスタンスを移行する - Qiita
便利機能「OS Login」を使ってIAMでインスタンスへのSSH接続制限をする