Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CyberAgent AI Lab 研修:Google Cloud - IAM&Admin
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
kargo113
March 14, 2025
1.1k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
CyberAgent AI Lab 研修:Google Cloud - IAM&Admin
AILab で実施された研修 "Google Cloud - IAM&Admin" の資料です
kargo113
March 14, 2025
More Decks by kargo113
See All by kargo113
Gemini の Structured Output を活用したクラウド設計支援システム
kargo113
0
270
History of the ML system in KARTE
kargo113
1
2.6k
LightMLOps using Vertex Workbench
kargo113
1
1.7k
10billion user analytics architecture using BigQuery
kargo113
1
2.5k
GoogleCloudDayDigital PLAID MLPipeline On AIPlatform
kargo113
0
3.6k
Featured
See All Featured
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
330
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
118
120k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.8k
Designing Experiences People Love
moore
143
24k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
66
55k
Agile Actions for Facilitating Distributed Teams - ADO2019
mkilby
0
210
Statistics for Hackers
jakevdp
799
230k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.5k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
340
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
56k
Transcript
CyberAgent AI Lab 研修: Google Cloud - IAM&Admin 株式会社サイバーエージェント AI
Lab
2 本日のコンテンツ IAMとは? 01 認証と認可 02 まとめ 03
3 IAMとは? 01
- Principal / Role / Policy IAMの基本構成 Policy Role principal
https://cloud.google.com/iam/docs/overview?hl=ja
- Principal ? - アカウントのことです -
[email protected]
-
[email protected]
-
[email protected]
-
[email protected]
- これがあって初めて権限を付与することになります Principalとは
- Role ? - 権限です - roles/viewer - e.g. Storage
Viewer - roles/editor - e.g. Bigquery Editor - roles/owner - ほぼ全て - さらに細かく設定できるものもある(事前定義ロール/カスタムロール) Roleとは
- Policy ? - Principal * Role の組み合わせ
[email protected]
+
Vertex AI User Policyとは
- 弊社のプロジェクトにおいての例 - Basic / Resource Manager
[email protected]
+ AI
Lab Basic - storage.buckets.create - compute.instances.start - … AI Lab Resource Manager - iam.roles.create - billing.resourceCosts.get - …
[email protected]
+ AILabの例
- IAM Admin Role について注意 ⚠ - IAMを自由にいじれます。ということは... - (ほぼ)なんでもできます
- 従って、一定の責任とれる人以外には付与すべきではありません - 顧客情報の漏洩などはだいたいこのあたりから発生する - 権限追加の申請フローがあるのはこのためです - 自由度が必要な場合もあり、作業効率観点からも適切な方法を模索中... !注意点!
10 認証と認可 02
認証と認可の違い - 認証(Authentication) - ユーザーがXXであるか確かめる - 認可(Authorization) - 特定のリソースに対するアクセス権限を与える https://zenn.dev/counterworks/articles/142b9b64f8cd2d
気になる人向け
Google Cloud での許可ポリシーの仕組み
どうやって動いているのか - どうやって動くの? - まず2つの違い - ① gcloud auth login
- gcloud, gsutil, bq, cbt … (for CLI) - ~/.config/gcloud/credentials.db に格納 - ② gcloud auth application-default login - Python Bigquery Client … (for SDK) - ~/.config/gcloud/application_default_credentials.json に格納 - 今回は ML Platform などのPythonアプリケーションでの活用なので②
ユーザーアカウント - ユーザーアカウントでは、gcloudで認証し、認可されたサービスにアクセス kasuga_akira @cyberagent.co.jp gcloud auth application-default login application_default_credentials.json
※一定時間経過後に失効 Identity & Access Management BigQuery Cloud Storage × 認証 認可
サービスアカウント - サービスアカウントの場合
[email protected]
(Compute Engine default service account) Identity
& Access Management BigQuery Cloud Storage Compute Engine ※発行したサービスアカウントに よりますが、かなり強力な権限が 使用されていることが多いです 人手では不要 認可
実際のProduction環境での例 承認 チェック VPNやFirewallに頼ることなくアプ リケーションレベルで制御可能! よくあるこの画面(認証) 承認されたRequestのみ アプリケーションに通る
17 まとめ 03
- IAMとは - Principal / Role / Policy で構成される権限の管理方法 -
e.g.)
[email protected]
+ AILab Basic Role - 認証と認可 - 認証:ユーザーがXXであることを確かめる - 認可:特定のリソースに対するアクセス権限を与える - 最後に - 正しい権限管理を行うことは業務として重要です! まとめ
Your Podcast. Everywhere. Effortlessly.
kargo113
ks91
twada
marktimemedia
moore
soudai
mkilby
jakevdp
rmw
jcasabona
chriscoyier
skoyamalab
aki_iinuma
![- Principal ? - アカウントのことです - [email protected] - [email protected] -](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_4.jpg){kind=link}
![- Policy ? - Principal * Role の組み合わせ [email protected] +](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_6.jpg){kind=link}
![- 弊社のプロジェクトにおいての例 - Basic / Resource Manager [email protected] + AI](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_7.jpg){kind=link}
![サービスアカウント - サービスアカウントの場合 [email protected] (Compute Engine default service account) Identity](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_14.jpg){kind=link}
