Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CyberAgent AI Lab 研修:Google Cloud - IAM&Admin

kargo113
March 14, 2025
0
710

CyberAgent AI Lab 研修:Google Cloud - IAM&Admin

AILab で実施された研修 "Google Cloud - IAM&Admin" の資料です

kargo113

March 14, 2025
Tweet

More Decks by kargo113

See All by kargo113
History of the ML system in KARTE
kargo113
1
2.4k
LightMLOps using Vertex Workbench
kargo113
1
1.5k
10billion user analytics architecture using BigQuery
kargo113
1
2.3k
GoogleCloudDayDigital PLAID MLPipeline On AIPlatform
kargo113
0
3.3k

Featured

See All Featured
Unsuck your backbone
ammeep
670
57k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.4k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
47
2.7k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
178
53k
Embracing the Ebb and Flow
colly
85
4.7k
Fireside Chat
paigeccino
37
3.4k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
4 Signs Your Business is Dying
shpigford
183
22k
Being A Developer After 40
akosma
91
590k
Producing Creativity
orderedlist
PRO
344
40k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
19
1.2k

Transcript

  1. CyberAgent AI Lab 研修: Google Cloud - IAM&Admin 株式会社サイバーエージェント AI

    Lab

  2. 2 本日のコンテンツ IAMとは? 01 認証と認可 02 まとめ 03

  3. 3 IAMとは? 01

  4. - Principal / Role / Policy IAMの基本構成 Policy Role principal

    https://cloud.google.com/iam/docs/overview?hl=ja

  5. - Principal ? - アカウントのことです - [email protected] - [email protected] -

    [email protected] - [email protected] - これがあって初めて権限を付与することになります Principalとは

  6. - Role ? - 権限です - roles/viewer - e.g. Storage

    Viewer - roles/editor - e.g. Bigquery Editor - roles/owner - ほぼ全て - さらに細かく設定できるものもある(事前定義ロール/カスタムロール) Roleとは

  7. - Policy ? - Principal * Role の組み合わせ [email protected] +

    Vertex AI User Policyとは

  8. - 弊社のプロジェクトにおいての例 - Basic / Resource Manager [email protected] + AI

    Lab Basic - storage.buckets.create - compute.instances.start - … AI Lab Resource Manager - iam.roles.create - billing.resourceCosts.get - … [email protected] + AILabの例

  9. - IAM Admin Role について注意 ⚠ - IAMを自由にいじれます。ということは... - (ほぼ)なんでもできます

    - 従って、一定の責任とれる人以外には付与すべきではありません - 顧客情報の漏洩などはだいたいこのあたりから発生する - 権限追加の申請フローがあるのはこのためです - 自由度が必要な場合もあり、作業効率観点からも適切な方法を模索中... !注意点!

  10. 10 認証と認可 02

  11. 認証と認可の違い - 認証(Authentication) - ユーザーがXXであるか確かめる - 認可(Authorization) - 特定のリソースに対するアクセス権限を与える https://zenn.dev/counterworks/articles/142b9b64f8cd2d

    気になる人向け

  12. Google Cloud での許可ポリシーの仕組み

  13. どうやって動いているのか - どうやって動くの? - まず2つの違い - ① gcloud auth login

    - gcloud, gsutil, bq, cbt … (for CLI) - ~/.config/gcloud/credentials.db に格納 - ② gcloud auth application-default login - Python Bigquery Client … (for SDK) - ~/.config/gcloud/application_default_credentials.json に格納 - 今回は ML Platform などのPythonアプリケーションでの活用なので②

  14. ユーザーアカウント - ユーザーアカウントでは、gcloudで認証し、認可されたサービスにアクセス kasuga_akira @cyberagent.co.jp gcloud auth application-default login application_default_credentials.json

    ※一定時間経過後に失効 Identity & Access Management BigQuery Cloud Storage × 認証 認可

  15. サービスアカウント - サービスアカウントの場合 [email protected] (Compute Engine default service account) Identity

    & Access Management BigQuery Cloud Storage Compute Engine ※発行したサービスアカウントに よりますが、かなり強力な権限が 使用されていることが多いです 人手では不要 認可

  16. 実際のProduction環境での例 承認 チェック VPNやFirewallに頼ることなくアプ リケーションレベルで制御可能! よくあるこの画面(認証) 承認されたRequestのみ アプリケーションに通る

  17. 17 まとめ 03

  18. - IAMとは - Principal / Role / Policy で構成される権限の管理方法 -

    e.g.) [email protected] + AILab Basic Role - 認証と認可 - 認証:ユーザーがXXであることを確かめる - 認可:特定のリソースに対するアクセス権限を与える - 最後に - 正しい権限管理を行うことは業務として重要です! まとめ