外部IPを持たないCloud SQLにIAPを使ってローカルマシンからアクセスする | Tech-Tech
久しぶりの投稿となります。 エヌデーデーの関口です。 ずいぶん前になってしまいますが、WebPerformer関連で新機能の紹介を兼ねた実装方法などをいくつか紹介していました。(ご興味があれば、検索してみてください) 今回は、WebPerformerネタではなくGoogle Cloudの記事です。いずれWebPerformerをGoogle Cloud上で動作させるネタを書くつもりなので、その下準備だと思ってください。 下準備とは言っても、しっかりGoogle Cloudの事を書くのでご安心ください。
Remote to Vertex AI Workbench Instances over an IAP tunnel with VS Code
In this post you will learn how to use your VS Code client as IDE in your local development machine while using Vertex AI Workbench Instances as remote, all of that within a protected environment with an IAP tunnel. Vertex AI Workbench Instances is the new enterprise-grade Jupyter notebook environment for data scientists. It’s currently in General availability (GA) in Google Cloud Platform. Main f
今回やりたかったのは Cloud IAP という Google がいい具合に処理してくれる認証用の proxy サーバを Cloud Run の前段に置き、特定の人しかアクセスできないようにすること。 Cloud Run には直接 IAP を設定することができず、必要な準備がいくつかある。今回はこの実現のために必要な準備を確認した。 Cloud IAP, Cloud Load BalancingをおさらいCloud Run は Cloud Functions 同様、そもそも認証情報付きでしかアクセスできないようにすることもできるが、Cloud IAP ( Indentity-Aware Proxy ) はアカウント単位で許可する人を登録したり、Google Workspace と組み合わせてドメイン丸ごとに対して設定することで、社内限定公開のようなものをお手軽に実現できるスグレモノだ。ただ
Cloud RunにCloud IAPを使った認証処理を追加する - GMOインターネットグループ グループ研究開発本部
こんにちは。次世代システム研究室のM.Mです。 何か新しいWEBサービスや機能をリリースすると、それらを運用するためにWEB管理ツールを作成することはよくあると思います。 ユーザーからの問い合わせ対応で、ユーザーの登録状態を確認できるようなユーザーサポート向けのWEB管理ツールもあれば、商品を登録するといったサービス運用業務に関連するWEB管理ツールもあるかと思います。 そして、そのWEB管理ツールにはIP制限をかけて、社内からしかアクセスできないようにするといったこともよくあるかと思います。 ただ、社内からしかアクセスしない、アクセスする人も限られているようなケースはIP制限だけでもよいと思いますが、サービスの成長に伴い、運用作業を外部に移管したいという話もでてきます。 IP制限だけでは十分ではなく、誰がどのような作業をしたか分かるようにしたり、管理者でなければ使わせたくない機能もあるか
無料で取得したドメインをCloud Load BalancingのIPに紐づけてIAPを使用してCloud Runにアクセス制限をかける
無料で取得したドメインをCloud Load BalancingのIPに紐づけてIAPを使用してCloud Runにアクセス制限をかける はじめに Identity-Aware Proxy(IAP)を使用してCloud Runに許可されたGoogleアカウントだけがアクセスできるように、制限をかける方法と、無料で取得したドメインをCloud Load BalancingのIPに紐づける方法を紹介します。 参考にさせていただいた記事はこちら。 無料ドメイン取得 まずはCloud Load Balancingの設定で必要になるドメインを取得します。当初、無料ドメインを取得するのに、Freenomを使用しようと思っていましたが、どうやらMetaに訴えられて新規ドメイン登録の受け付けを停止しているようです。(2023/07/16現在) そのため今回は、Freenomの代わりにDynamic DO!
GKEのIngressでIdentity-Aware Proxy(IAP)を有効化する - G-gen Tech Blog
G-gen の佐々木です。当記事では GKE の Ingress リソースとして作成したロードバランサで Identity-Aware Proxy を有効化する方法を解説します。 当記事の概要 GKE クラスタにサンプルアプリケーションをデプロイ GKE クラスタの作成 Deployment リソースの作成 Google マネージド証明書の作成 静的外部 IP アドレスの作成 DNS レコードの作成 ManagedCertificate リソースの作成 アプリケーションの公開 Ingress リソースの作成 ブラウザからアプリケーションにアクセス OAuth 認証情報を格納する Secret リソースの作成 OAuth 同意画面の構成 OAuth 2.0 クライアント ID とシークレットの発行 Secret リソースの作成 IAP の有効化 BackendConfig リソースの作成 I
はじめに この記事は、 Cloud Run user auth for internal apps という動画を参考に、『実際にやってみた』という記事になります。 この記事で実施する事。 Cloud Run Service をデプロイする。 Cloud Run Service の統合機能を使用して、ロードバランサを設定する。 Identity Aware Proxy (IAP) を設定する。 特定のユーザーやグループに対して、 IAP を経由するように設定する。 Cloud Run Service サービスへのアクセスに IAP を利用するように設定する。 匿名ユーザーや未認証によるアクセスを拒否する。 カスタムドメインのみから、Cloud Run Service を実行できるかを確認する。 以下はその必要となる構成になります。 Cloud Run Service をデプロイする。 get
Cloud Run で Workforce Identity と IAP を利用して Microsoft Entra アカウントで認証する
はじめに こんにちは!クラウドエースの SRE 部に所属している小田です。 今回は、Microsoft Entra テナント(旧 Azure AD)を外部 Identify Provider(以下、IdP)として Workforce Identity 連携を行い、Microsoft Entra アカウントで Cloud Run のアプリケーションに Identity-Aware Proxy(以下、IAP)認証を行う方法についてのご紹介です。 2024 年 5 月 6 日にプレビューとなったばかりの機能で、私自身とても気になっていたので試してみました。 対象読者 Microsoft Entra アカウントで IAP 認証を行いたい人 Workforce Identity で Microsoft Entra テナントと連携したい人 何が嬉しいのか 従来、IAP で外部の IdP ユーザーで認証
GKE(Google Kubernetes Engine) Autopilotの限定公開クラスタにIAPを利用してアクセスする | Tech-Tech
エヌデーデーの関口です。 このTech-Techが始まった初期の頃に、限定公開クラスタの紹介をしましたが、当時はAutopilotがなかったので、少々複雑に考えなければならない部分がありました。 今回はAutopilot版の限定公開クラスタを作成してみて、IAPを利用してアクセスするという記事です。 まあ、ネタとしては既に出尽くされた感のあるものですが、最後の方に少しだけ実験的な事をやっていますので、最後までご覧ください。 GKE AutopilotとはGKEはコンテナオーケストレーションのソフトウェアであるKubernetes(k8sと略します)をGoogle Cloud上でマネージドに提供しているサービスです。 k8s自体は、複数のノードと呼ばれる仮想(or物理)マシンを一つのプラットフォームとして、その上で更に複数のコンテナなどを稼働させておくことができるものです。 すでにk8sのこ
【Unity/IAP】2023/8/14頃からUnityIAPでのiOSローカルレシート検証で失敗するようになった場合の対策 - 脱力駆動開発記
前提 UnityIAP v4.9.3以前を使用 iOS課金のレシート検証をローカルでやっている 起きる現象 InvalidSignatureExceptionが発生して、CrossPlatformValidator.Validateが通らなくなる。 コード的には以下のようなコードで例外(InvalidSignatureException)が発生する。 var validator = new CrossPlatformValidator(GooglePlayTangle.Data(), AppleTangle.Data(), Application.identifier); if(validator.Validate(args.purchasedProduct.receipt)) { // レシート検証成功後の処理 }else { // 失敗時の処理 } 気づかずにAppStoreでそのバー
Unityでアプリ内課金を導入するのに、Unity Gaming Servicesは必須ではありません。 商品データをマスタ等で管理する場合、こちらは使用しない方が管理しやすいので、本記事ではUnity Gaming Servicesを用いない実装について説明します。 アプリ・アプリ内課金商品登録 実機で課金を確認するために、 Apple Developer Program/Google Play Consoleへの登録 Apple Developer Program/Google Play Console上へのアプリ作成 Apple Developer Program/Google Play Console上へのアプリ内課金の登録 の設定も必要です。ここでは具体的な方法は解説しないので、下記などを参考にしてください。 実装 1. 消耗型 まず消耗型課金とは何かというと、ガチャを引くための
アイデンティティ認識型プロキシ(Identity-Aware Proxy:IAP) | セキュリティ用語集 | サイバーセキュリティ | NECソリューションイノベータ
アイデンティティ認識型プロキシ(Identity-Aware Proxy:IAP) 「ユーザ、端末などの認証、認可を行い各種リソースへの安全な接続を実現する、ゼロトラストモデルに必要なプロキシ」 アイデンティティ認識型プロキシ(Identity-Aware Proxy:IAP)はユーザとアプリケーションの間に入って通信を仲介するプロキシである。アイデンティティ認識型と呼ばれるのはユーザがアプリケーションにアクセスする度に認証基盤と連携して認可をやり直すためである。不正アクセスが疑われる場合は接続させない、または多要素認証を求めることによって正当なユーザあること、リスクがない端末であることを確認することで実現している。 さらにオンプレミスの社内ネットワークの内部にコネクターと呼ぶサーバを配置することで、オンプレミスにあるアプリケーションがインターネット経由で利用可能になる。通信はIAPが暗号
前置き 先日、Unityで初めて消耗型の課金の実装を行ったのですが、かなりつまづく点が多かったので、実装までの一連の流れをここに記載しておきます。 環境 PC:Mac Book Pro Unity :2021.3.21f1 実機:iPhone13 pro iOS:17.1 実装 「Unity IAP」のインストール Unityで「インスペクター」の隣にある「サービス」のタブを開くか、 「ウィンドウ」→「サービス」から「サービス」を開きます。 サービス内にある「アプリ内課金(In-App Purchasing)」を選択し、「ON」にします。 「ON」にすることで「Unity IAP」が利用できるようになります。 「IAP Catalog」の設定 IAP Catalogの設定ですが、こちらの設定を行わなくても実機への課金システムの実装は可能ですが、Catalogを登録しないとUnity Edi
Google Cloudで管理画面(管理サイト)を動かすときには、Cloud IAP(Identity-Aware Proxy)がとても便利です。 例えば、Cloud Runにデプロイされた管理サイトをIAP越しに動かすことで「特定のGoogleアカウントに対してのみアクセスを許可する」といったことが簡単に実現できます。 この記事は、IAPを導入したうえでより細かな権限管理をする方法についてメモしたものです。IAPの詳細はドキュメントを確認してください。 IAP越しに動くアプリケーションでより細かな権限管理をしたい IAP越しに動かしているアプリケーションで、より細かな権限管理をしたくなることもあると思います。例えば以下のようなケースです。 個人情報にアクセスできるのは管理者の中でも一部の人に限定したい 編集・削除といった操作ができるのは管理者の中でも一部の人に限定したい リクエストヘッダ
【Google Cloud】IAP×Cloud Load BalancingでWebアプリケーションを保護して公開しよう! | Tech-Tech
こんにちは。エヌデーデーの金子です。 皆様、開発環境のWebアプリケーションをインターネットから動かしたい時、ございませんでしょうか? VM単体で動くミニマムなアプリであれば、インスタンスに外部IPを振って公開するのがお手軽です。 ですがクラウド上のインスタンスを外部公開してしまうと、大きなセキュリティリスクを生みます。 そこで便利なのがGoogle Cloudのリバースプロキシサービス、IAP(Identity-Aware Proxy)です。 IAPを適用することで、許可したGoogleアカウントのみ接続を許可するなんて設定が可能になります。 フルマネージドであるため構築・運用の手間が無く、基本機能は無料で使うことが出来ます。 今回はCompute Engineで動くWebアプリを、IAPで保護したうえで公開する方法をご紹介したいと思います。 構成 Compute EngineでIAPを
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Cloud Load Balancingを使い、Cloud RunサービスにIAPで認証を追加する
IAPを利用してCloud Run ユーザー認証を行う。 - Qiita
Unity IAP完全攻略への道:消耗型編(+コンビニ決済) - Qiita
【完全版】Unity IAPでiOSの課金を実装する方法 - スタトピ
IAPのリクエストヘッダから取得したemailを使って細かな権限管理をする