Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CyberAgent AI Lab 研修:Google Cloud - IAM&Admin

kargo113
March 14, 2025
0
6

CyberAgent AI Lab 研修:Google Cloud - IAM&Admin

AILab で実施された研修 "Google Cloud - IAM&Admin" の資料です

kargo113

March 14, 2025
Tweet

More Decks by kargo113

See All by kargo113
History of the ML system in KARTE
kargo113
1
2.4k
LightMLOps using Vertex Workbench
kargo113
1
1.5k
10billion user analytics architecture using BigQuery
kargo113
1
2.3k
GoogleCloudDayDigital PLAID MLPipeline On AIPlatform
kargo113
0
3.3k

Featured

See All Featured
Java REST API Framework Comparison - PWX 2021
mraible
29
8.5k
RailsConf 2023
tenderlove
29
1k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
30k
Done Done
chrislema
183
16k
Facilitating Awesome Meetings
lara
53
6.3k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
How to train your dragon (web standard)
notwaldorf
91
5.9k
Making the Leap to Tech Lead
cromwellryan
133
9.2k
Measuring & Analyzing Core Web Vitals
bluesmoon
6
360
Thoughts on Productivity
jonyablonski
69
4.5k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
22
2.6k

Transcript

  1. CyberAgent AI Lab 研修: Google Cloud - IAM&Admin 株式会社サイバーエージェント AI

    Lab

  2. 2 本日のコンテンツ IAMとは? 01 認証と認可 02 まとめ 03

  3. 3 IAMとは? 01

  4. - Principal / Role / Policy IAMの基本構成 Policy Role principal

    https://cloud.google.com/iam/docs/overview?hl=ja

  5. - Principal ? - アカウントのことです - [email protected] - [email protected] -

    [email protected] - [email protected] - これがあって初めて権限を付与することになります Principalとは

  6. - Role ? - 権限です - roles/viewer - e.g. Storage

    Viewer - roles/editor - e.g. Bigquery Editor - roles/owner - ほぼ全て - さらに細かく設定できるものもある(事前定義ロール/カスタムロール) Roleとは

  7. - Policy ? - Principal * Role の組み合わせ [email protected] +

    Vertex AI User Policyとは

  8. - 弊社のプロジェクトにおいての例 - Basic / Resource Manager [email protected] + AI

    Lab Basic - storage.buckets.create - compute.instances.start - … AI Lab Resource Manager - iam.roles.create - billing.resourceCosts.get - … [email protected] + AILabの例

  9. - IAM Admin Role について注意 ⚠ - IAMを自由にいじれます。ということは... - (ほぼ)なんでもできます

    - 従って、一定の責任とれる人以外には付与すべきではありません - 顧客情報の漏洩などはだいたいこのあたりから発生する - 権限追加の申請フローがあるのはこのためです - 自由度が必要な場合もあり、作業効率観点からも適切な方法を模索中... !注意点!

  10. 10 認証と認可 02

  11. 認証と認可の違い - 認証(Authentication) - ユーザーがXXであるか確かめる - 認可(Authorization) - 特定のリソースに対するアクセス権限を与える https://zenn.dev/counterworks/articles/142b9b64f8cd2d

    気になる人向け

  12. Google Cloud での許可ポリシーの仕組み

  13. どうやって動いているのか - どうやって動くの? - まず2つの違い - ① gcloud auth login

    - gcloud, gsutil, bq, cbt … (for CLI) - ~/.config/gcloud/credentials.db に格納 - ② gcloud auth application-default login - Python Bigquery Client … (for SDK) - ~/.config/gcloud/application_default_credentials.json に格納 - 今回は ML Platform などのPythonアプリケーションでの活用なので②

  14. ユーザーアカウント - ユーザーアカウントでは、gcloudで認証し、認可されたサービスにアクセス kasuga_akira @cyberagent.co.jp gcloud auth application-default login application_default_credentials.json

    ※一定時間経過後に失効 Identity & Access Management BigQuery Cloud Storage × 認証 認可

  15. サービスアカウント - サービスアカウントの場合 [email protected] (Compute Engine default service account) Identity

    & Access Management BigQuery Cloud Storage Compute Engine ※発行したサービスアカウントに よりますが、かなり強力な権限が 使用されていることが多いです 人手では不要 認可

  16. 実際のProduction環境での例 承認 チェック VPNやFirewallに頼ることなくアプ リケーションレベルで制御可能! よくあるこの画面(認証) 承認されたRequestのみ アプリケーションに通る

  17. 17 まとめ 03

  18. - IAMとは - Principal / Role / Policy で構成される権限の管理方法 -

    e.g.) [email protected] + AILab Basic Role - 認証と認可 - 認証:ユーザーがXXであることを確かめる - 認可:特定のリソースに対するアクセス権限を与える - 最後に - 正しい権限管理を行うことは業務として重要です! まとめ