日々権限設計で頭を抱えてます。この苦悩が終わることは無いと思ってますが、新しい課題にぶつかっていくうちに最初のころの課題を忘れていきそうなので、現時点での自分の中でぐちゃぐちゃになっている情報をまとめようと思い、記事にしました。 所々で「メリット」「デメリット」に関連する情報がありますが、そのときそのときには色々と感じることがあっても、いざ記事にまとめるときに思い出せないものが多々ありました。フィードバックや自分の経験を思い出しながら随時更新する予定です。 TL;DR(長すぎて読みたくない) 想定する読者や前提知識 この記事での権限とは 権限の種類 ACL(Access Control List) RBAC(Role-Based Access Control) ABAC(Attribute-Based Access Control) どの権限モデルを採用するべきか 権限を適用する場面 機能
はじめに 本記事では、Kubernetesで実現するマルチテナントについて、2020年9月時点での現状と、将来的に利用できるであろう機能の紹介をいたします。各機能についての詳細は、参考ドキュメント等を参照していただければと思います。 本記事の要点 マルチテナントは単一のクラスター上に複数のテナントを共存させることを指す。 Kubernetesにはマルチテナントを実現するための機能が備わっている。 アクセスコントロール:RBAC セキュリティ:Namespace / Network Policy / Pod Security Policy リソースの隔離:ResourceQuota / LimitRange / Affinity / Taintなど Kubernetesのマルチテナント機能は、SIGを中心として機能開発が進められている。 Benchmarks Tenant Controlle
大規模アプリケーション開発運用をマルチテナント方式のGKEクラスタで実現した話 - MonotaRO Tech Blog
こんにちは。EC基盤グループの宮口(@smiyaguchi)と池田(@progrhyme)です。 モノタロウではKubernetesのマネージドサービスであるGoogle Kubernetes Engine(以下、GKE)を利用しています。 このKubernetesですがとても便利な反面、管理が大変で開発者がアプリケーションの開発とKubernetesの運用を同時に行うのは負荷が高くなりあまり好ましくありません。 そこでモノタロウでは開発と運用を分離できるように、社内でGKE共通環境と呼んでいるマルチテナント方式のクラスタによるアプリケーションの実行基盤を構築しました。 今回はその紹介をします。 マルチテナント・シングルテナントとは? なぜマルチテナントのGKE環境を作ることにしたのか 全体概要 前提・環境情報 GKE共通環境の特徴 Namespace・ノードプールの分離 RBACによる権
はじめに インターンでお世話になっている、コウゲと申します。現在担当させていただいている仕事は業務で使用している管理画面のマイクロサービス化です。 マイクロサービス間をつなぐ認証機能が必要だったので、認証プラットフォームとして使いやすそうな 「Auth0」で どんなことができるのか、実現したいことは可能なのかを検証してみることになりました。 なぜAuth0なのか ダッシュボードの設定 + 少ないコード で認証機能が簡単に実装できる。 Auth0専用ライブラリやSDKが多数存在し、目的に応じてそれを利用することで 簡単にログイン機能を実装することができる。 実現したいこと 発表 ありがたいことに、調べた結果を社内で発表する場を設けていただきました。 ブログの内容より少し詳しく書いています。読んだら即実装できるようなスライドを心がけて作りました! speakerdeck.c
Amazon Verified Permissionsとgolangで認可処理を実装してみた - Techtouch Developers Blog
Amazon Verified Permissions とは 従来の認可処理 Cedar 言語の使い方 基本的な記述方法 RBAC の例 ABAC の例 golang で動かしてみる 1. ポリシーストアを AWS コンソールから作成する 3. サンプルアプリケーションの実装 最後に こんにちは、2023年5月にバックエンドエンジニアとしてジョインした yamanoi です。 最近は Cloudflare スタックに注目しており、新機能を触ったりアップデートを眺めたりしています。 今回は先日 GA (一般利用可能)になった AWS のサービス Amazon Verified Permissions を、 golang で実装した簡単なサンプルを交えて紹介したいと思います。 Amazon Verified Permissions とは Amazon Verified Permissions
生産性とガバナンスを両立したグループ管理のため、SmartHR上の属性情報を元に擬似的なABACシステムを構築した話 #ベッテク月間 - LayerX エンジニアブログ
すべての経済活動を、デジタル化するために、すべての業務活動を、デジタル化したいコーポレートエンジニアリング室の @yuya-takeyama です。 7月はBet Technology Monthということでブログがたくさん出てくる月です。 そして7月といえば、第二四半期の始まりですね。 今月から転職や異動によって新しい環境で働き始める方も多いのではないでしょうか。 LayerXでは毎月のように入社・異動があるため、その度にやらないといけないことがあります。 それは、各種グループのメンバーの更新です。 LayerXにおけるグループメンバーの管理 LayerXではID基盤としてMicrosoft Entra IDを利用しています。 また、SCIMプロトコルを利用した自動プロビジョニングにより、そこから各種SaaS (Google Workspace, Slack, Notion, AWS,
ローカル端末、Entra ID テナント跨ぎ、組織アカウント・マイクロソフトアカウントが入り混じったら RBAC 制御で帰ってくるのが大変だった話 - normalian blog
今回のポストは「適切に運用された Entra ID テナント上で、適切に運用された組織アカウントで開発をしている方」や Entra ID テナントの闇(テナント複数あったりマイクロソフトアカウントが入り混じったり)に触れたことのない人には縁のない話です。この文章だけで痛みが分かる方には有益な情報を追記したつもりなので、引き続き通読してください。「タイトルみたいな複雑な運用するのが間違っている」という方へのアドバイスはこちらになります。 君はマトモな職場に居るか、マトモに仕事した事が無いんだね こっちに来てはいけないよ、森にお帰り。— ロリ=デカパイスキー3世 (@sumatora) June 27, 2022 今回私がハマった元ネタは以下の記事に記載のある「Cosmos DB へのデータアクセスを RBAC で制御しようとした」です。本来はハマりどころは大してないのですが、掲題の件が絡むと
RBAC認可を使用する
このページに記載されている情報は古い可能性があります このページの更新日は英語版よりも古いため、記載されている情報が古い可能性があります。最新の情報をご覧になりたい方は英語版のページをご覧ください: Using RBAC Authorization Role Based Access Control(RBAC)は、組織内の個々のユーザーのRoleをベースに、コンピューターまたはネットワークリソースへのアクセスを制御する方法です。 RBAC認可はAPIグループ rbac.authorization.k8s.ioを使用して認可の決定を行い、Kubernetes APIを介して動的にポリシーを構成できるようにします。 RBACを有効にするには、以下の例のようにAPI serverの--authorization-mode フラグをコンマ区切りのRBACを含むリストでスタートします。
Relationship-based access control made fast, scalable, and easy to use.OpenFGA is an open-source authorization solution that allows developers to build granular access control using an easy-to-read modeling language and friendly APIs. Quick StartTrying OpenFGA is as easy as... Run the following snippet in a terminal in an environment with Docker installed: OpenFGA will be running at localhost:8080
ReactのアプリケーションにRole Based Access Controlを実装する - Qiita
はじめに この記事はReactのサンプルアプリケーションにRBAC(Role Based Access Control)を実装する手順で、こちらの原文を元に作成しています。ソースコードに"もしロールがxxだったらxxする"と実装しがちですが、この記事では要件やロールが変わっても柔軟に対応できてステップ数も少なくメンテナンス性の高い方法で実装しています。nodeとnpmのインストール、Auth0の無料アカウントの取得とテナントの作成が完了していることが前提となっています。まだの方はこちらの記事を参照の上ご準備をお願いします。 完成版のソースコードはここで公開しています。 環境 OS : macOS Mojave 10.14.6 node : 10.15.3 npm : 6.10.3 手順 アプリケーションの作成 任意のディレクトリでnpxを実行してnpmのバイナリを実行します。
Athenz(アセンズ)は、Role Based Access Control(ロールを利用したアクセス制御)を利用して、サービス間の認証・認可を行うシステムです。 旧Yahoo! Inc.にて開発されたシステムであり、2017年にOSS化されました。 2021年1月にはCNCF Sandboxプロダクトとなり、活発に開発が行われています。 Athenz 当社では2015年からAthenzを利用しており、2017年のOSS化にも貢献しています。 社内では多くのアプリケーションが稼働し、それぞれがAPI連携にてデータのやりとりをしています。それらのアプリケーション間の認証・認可の基盤システムとしてAthenzを活用し、当社が提供するサービスのセキュリティ向上に寄与しています。 社内にて利用してきた実績をもとに、Athenzへの改善提案・関連プロダクトの開発・提供や、各種カンファレンスにて社内
Role-based Access Control は、ユーザと許可とを直接紐付けるのではなく、間に役割(Role)を挟みこんだ 3 段階の権限管理を行っています; 誰が何をできるか?という設定は緻密で具体的ではありますが、その繊細さゆえに設定ミスを誘発しがちになります。Role を挟むことにより、「その役割の人なら、これらの振る舞いが認可される」という関係性を定義することができるようになります。 たとえば異動したユーザに対して、許可をひとつひとつ剥がしてひとつひとつ付け直すよりも、役割を 1 つだけ付け直すほうが、明らかにミスが減りますよね。 セットアップ何を作るか?投稿管理システムを素振りしてみます。役割として「ビジター」「執筆者」「管理者」の 3 種類を想定し、それぞれの役割に応じて閲覧や操作の許可をコントロールできる機能を実装していきます; このスクリーンショットの場合は、執筆者
Azure RBAC カスタム ロールの定義「Actions」と「NotActions」に全く同一の管理操作が定義された場合の動作について - Qiita
Azure RBAC カスタム ロールの定義「Actions」と「NotActions」に全く同一の管理操作が定義された場合の動作についてAzureAzureADRBAC はじめに Azure RBAC (ロールベースのアクセス制御) は、できることがとても多いので 1 つの記事ですべての RBAC の内容を網羅することは到底不可能な為、今回はタイトルに記載の動作に的を絞って検証をしてみました。 そもそも RBAC って何?っていう話もあるかと思いますが、RBAC に関する基本的な内容を押さえるには下記 Microsoft Learn の内容が非常によく出来ているので、ぜひ一度学んでみていただけると良いかと思います。 -Microsoft Learn ロールベースのアクセス制御 (RBAC) を使用して Azure リソースのカスタム ロールを作成する この Microsoft Learn
Azure portal を使用して BLOB データにアクセスするときに、ポータルでは内部的に Azure Storage への要求が発行されます。 Azure Storage への要求は、Microsoft Entra アカウントまたはストレージ アカウント アクセス キーのいずれかを使用して承認できます。 ポータルでは、どの方法を使用しているかを示し、適切なアクセス許可がある場合は、それら 2 つを切り替えることができます。 また、Azure portal で個々の BLOB アップロード操作を承認する方法を指定することもできます。 既定では、ユーザーが BLOB アップロード操作を承認するために既に使用している任意の方法がポータルによって使用されますが、BLOB をアップロードするときにこの設定を変更できます。 BLOB データにアクセスするために必要なアクセス許可 Azure p
ロールベースアクセス制御(RBAC)システムは、システム内のユーザーのロールに応じてアクセスとアクションを割り当てます。同じロールを付与されたすべてのユーザーは、同じ権限セットを持ちます。異なるロールを付与されたユーザーは、異なる権限を持ちます。 →Okta Japanの資料請求はこちら システムにRBACが必要な理由 すべての企業には、機密の文書、プログラム、記録があります。それらを保護しようとする際、保護が厳しすぎると業務が滞ります。逆に保護が緩すぎると、壊滅的なセキュリティの問題が発生する可能性があります。 そこで重要となるのが、ロールベースアクセス制御(RBAC)です。 このRBACを使用することで、ユーザーに必要なアクセス権を付与し、アクセスを必要としないユーザーをブロックできます。個人の属性ではなく、その個人のロールに基づいて変更を行います。ロールごとにアクセスを変更することで
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
アプリケーションにおける権限設計の課題 - kenfdev’s blog
Kubernetesのマルチテナントの現状を整理する - TECHSTEP
Auth0を使ってSPA(Vue.js, Python)の認証機能を作ってみた - JX通信社エンジニアブログ
Fine Grained Authorization | OpenFGA
Athenz - Yahoo!デベロッパーネットワーク
Role-Based Access Control (RBAC) を実践する | suzukalight.com
Azure portal で BLOB データへのアクセスを承認する - Azure Storage
ロールベースアクセス制御(RBAC)とは? メリットとABACとの比較 | Okta