Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CyberAgent AI Lab 研修:Google Cloud - IAM&Admin
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
kargo113
March 14, 2025
1
1.1k
CyberAgent AI Lab 研修:Google Cloud - IAM&Admin
AILab で実施された研修 "Google Cloud - IAM&Admin" の資料です
kargo113
March 14, 2025
Tweet
Share
More Decks by kargo113
See All by kargo113
Gemini の Structured Output を活用したクラウド設計支援システム
kargo113
0
250
History of the ML system in KARTE
kargo113
1
2.5k
LightMLOps using Vertex Workbench
kargo113
1
1.6k
10billion user analytics architecture using BigQuery
kargo113
1
2.5k
GoogleCloudDayDigital PLAID MLPipeline On AIPlatform
kargo113
0
3.6k
Featured
See All Featured
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.8k
The Cult of Friendly URLs
andyhume
79
6.8k
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
150
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.3k
Embracing the Ebb and Flow
colly
88
5k
Google's AI Overviews - The New Search
badams
0
950
ラッコキーワード サービス紹介資料
rakko
1
2.8M
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
64
52k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
390
Claude Code のすすめ
schroneko
67
220k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
270
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
150
Transcript
CyberAgent AI Lab 研修: Google Cloud - IAM&Admin 株式会社サイバーエージェント AI
Lab
2 本日のコンテンツ IAMとは? 01 認証と認可 02 まとめ 03
3 IAMとは? 01
- Principal / Role / Policy IAMの基本構成 Policy Role principal
https://cloud.google.com/iam/docs/overview?hl=ja
- Principal ? - アカウントのことです -
[email protected]
-
[email protected]
-
[email protected]
-
[email protected]
- これがあって初めて権限を付与することになります Principalとは
- Role ? - 権限です - roles/viewer - e.g. Storage
Viewer - roles/editor - e.g. Bigquery Editor - roles/owner - ほぼ全て - さらに細かく設定できるものもある(事前定義ロール/カスタムロール) Roleとは
- Policy ? - Principal * Role の組み合わせ
[email protected]
+
Vertex AI User Policyとは
- 弊社のプロジェクトにおいての例 - Basic / Resource Manager
[email protected]
+ AI
Lab Basic - storage.buckets.create - compute.instances.start - … AI Lab Resource Manager - iam.roles.create - billing.resourceCosts.get - …
[email protected]
+ AILabの例
- IAM Admin Role について注意 ⚠ - IAMを自由にいじれます。ということは... - (ほぼ)なんでもできます
- 従って、一定の責任とれる人以外には付与すべきではありません - 顧客情報の漏洩などはだいたいこのあたりから発生する - 権限追加の申請フローがあるのはこのためです - 自由度が必要な場合もあり、作業効率観点からも適切な方法を模索中... !注意点!
10 認証と認可 02
認証と認可の違い - 認証(Authentication) - ユーザーがXXであるか確かめる - 認可(Authorization) - 特定のリソースに対するアクセス権限を与える https://zenn.dev/counterworks/articles/142b9b64f8cd2d
気になる人向け
Google Cloud での許可ポリシーの仕組み
どうやって動いているのか - どうやって動くの? - まず2つの違い - ① gcloud auth login
- gcloud, gsutil, bq, cbt … (for CLI) - ~/.config/gcloud/credentials.db に格納 - ② gcloud auth application-default login - Python Bigquery Client … (for SDK) - ~/.config/gcloud/application_default_credentials.json に格納 - 今回は ML Platform などのPythonアプリケーションでの活用なので②
ユーザーアカウント - ユーザーアカウントでは、gcloudで認証し、認可されたサービスにアクセス kasuga_akira @cyberagent.co.jp gcloud auth application-default login application_default_credentials.json
※一定時間経過後に失効 Identity & Access Management BigQuery Cloud Storage × 認証 認可
サービスアカウント - サービスアカウントの場合
[email protected]
(Compute Engine default service account) Identity
& Access Management BigQuery Cloud Storage Compute Engine ※発行したサービスアカウントに よりますが、かなり強力な権限が 使用されていることが多いです 人手では不要 認可
実際のProduction環境での例 承認 チェック VPNやFirewallに頼ることなくアプ リケーションレベルで制御可能! よくあるこの画面(認証) 承認されたRequestのみ アプリケーションに通る
17 まとめ 03
- IAMとは - Principal / Role / Policy で構成される権限の管理方法 -
e.g.)
[email protected]
+ AILab Basic Role - 認証と認可 - 認証:ユーザーがXXであることを確かめる - 認可:特定のリソースに対するアクセス権限を与える - 最後に - 正しい権限管理を行うことは業務として重要です! まとめ
Your Podcast. Everywhere. Effortlessly.
kargo113
honnibal
andyhume
jacobtomlinson
signer
colly
badams
rakko
soudai
konakalab
schroneko
baasie
sarafernandez
![- Principal ? - アカウントのことです - [email protected] - [email protected] -](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_4.jpg){kind=link}
![- Policy ? - Principal * Role の組み合わせ [email protected] +](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_6.jpg){kind=link}
![- 弊社のプロジェクトにおいての例 - Basic / Resource Manager [email protected] + AI](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_7.jpg){kind=link}
![サービスアカウント - サービスアカウントの場合 [email protected] (Compute Engine default service account) Identity](https://files.speakerdeck.com/presentations/1b010a8458f14c5e92dcd09d3451434e/slide_14.jpg){kind=link}
