Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CyberAgent AI Lab 研修:Google Cloud - IAM&Admin
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
kargo113
March 14, 2025
1
1.1k
CyberAgent AI Lab 研修:Google Cloud - IAM&Admin
AILab で実施された研修 "Google Cloud - IAM&Admin" の資料です
kargo113
March 14, 2025
Tweet
Share
More Decks by kargo113
See All by kargo113
Gemini の Structured Output を活用したクラウド設計支援システム
kargo113
0
250
History of the ML system in KARTE
kargo113
1
2.5k
LightMLOps using Vertex Workbench
kargo113
1
1.6k
10billion user analytics architecture using BigQuery
kargo113
1
2.5k
GoogleCloudDayDigital PLAID MLPipeline On AIPlatform
kargo113
0
3.6k
Featured
See All Featured
We Have a Design System, Now What?
morganepeng
55
8k
New Earth Scene 8
popppiees
1
1.7k
Being A Developer After 40
akosma
91
590k
BBQ
matthewcrist
89
10k
Building Adaptive Systems
keathley
44
2.9k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
370
The Curious Case for Waylosing
cassininazir
0
260
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
62
51k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.2k
The untapped power of vector embeddings
frankvandijk
2
1.6k
Designing Powerful Visuals for Engaging Learning
tmiket
0
260
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
380
Transcript
CyberAgent AI Lab 研修: Google Cloud - IAM&Admin 株式会社サイバーエージェント AI
Lab
2 本日のコンテンツ IAMとは? 01 認証と認可 02 まとめ 03
3 IAMとは? 01
- Principal / Role / Policy IAMの基本構成 Policy Role principal
https://cloud.google.com/iam/docs/overview?hl=ja
- Principal ? - アカウントのことです -
[email protected]
-
[email protected]
-
[email protected]
-
[email protected]
- これがあって初めて権限を付与することになります Principalとは
- Role ? - 権限です - roles/viewer - e.g. Storage
Viewer - roles/editor - e.g. Bigquery Editor - roles/owner - ほぼ全て - さらに細かく設定できるものもある(事前定義ロール/カスタムロール) Roleとは
- Policy ? - Principal * Role の組み合わせ
[email protected]
+
Vertex AI User Policyとは
- 弊社のプロジェクトにおいての例 - Basic / Resource Manager
[email protected]
+ AI
Lab Basic - storage.buckets.create - compute.instances.start - … AI Lab Resource Manager - iam.roles.create - billing.resourceCosts.get - …
[email protected]
+ AILabの例
- IAM Admin Role について注意 ⚠ - IAMを自由にいじれます。ということは... - (ほぼ)なんでもできます
- 従って、一定の責任とれる人以外には付与すべきではありません - 顧客情報の漏洩などはだいたいこのあたりから発生する - 権限追加の申請フローがあるのはこのためです - 自由度が必要な場合もあり、作業効率観点からも適切な方法を模索中... !注意点!
10 認証と認可 02
認証と認可の違い - 認証(Authentication) - ユーザーがXXであるか確かめる - 認可(Authorization) - 特定のリソースに対するアクセス権限を与える https://zenn.dev/counterworks/articles/142b9b64f8cd2d
気になる人向け
Google Cloud での許可ポリシーの仕組み
どうやって動いているのか - どうやって動くの? - まず2つの違い - ① gcloud auth login
- gcloud, gsutil, bq, cbt … (for CLI) - ~/.config/gcloud/credentials.db に格納 - ② gcloud auth application-default login - Python Bigquery Client … (for SDK) - ~/.config/gcloud/application_default_credentials.json に格納 - 今回は ML Platform などのPythonアプリケーションでの活用なので②
ユーザーアカウント - ユーザーアカウントでは、gcloudで認証し、認可されたサービスにアクセス kasuga_akira @cyberagent.co.jp gcloud auth application-default login application_default_credentials.json
※一定時間経過後に失効 Identity & Access Management BigQuery Cloud Storage × 認証 認可
サービスアカウント - サービスアカウントの場合
[email protected]
(Compute Engine default service account) Identity
& Access Management BigQuery Cloud Storage Compute Engine ※発行したサービスアカウントに よりますが、かなり強力な権限が 使用されていることが多いです 人手では不要 認可
実際のProduction環境での例 承認 チェック VPNやFirewallに頼ることなくアプ リケーションレベルで制御可能! よくあるこの画面(認証) 承認されたRequestのみ アプリケーションに通る
17 まとめ 03
- IAMとは - Principal / Role / Policy で構成される権限の管理方法 -
e.g.)
[email protected]
+ AILab Basic Role - 認証と認可 - 認証:ユーザーがXXであることを確かめる - 認可:特定のリソースに対するアクセス権限を与える - 最後に - 正しい権限管理を行うことは業務として重要です! まとめ
Your Podcast. Everywhere. Effortlessly.
kargo113
morganepeng
popppiees
akosma
matthewcrist
keathley
konakalab
cassininazir
soudai
aleyda
frankvandijk
tmiket
reverentgeek
![- Principal ? - アカウントのことです - [email protected] - [email protected] -](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_4.jpg){kind=link}
![- Policy ? - Principal * Role の組み合わせ [email protected] +](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_6.jpg){kind=link}
![- 弊社のプロジェクトにおいての例 - Basic / Resource Manager [email protected] + AI](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_7.jpg){kind=link}
![サービスアカウント - サービスアカウントの場合 [email protected] (Compute Engine default service account) Identity](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_14.jpg){kind=link}
