Workforce Identity を使った権限管理で Cloud Run を動かしてみた

Workforce Identity を使った権限管理で Cloud Run を動かしてみた Jagu'e'r Cloud Native
#16 ハイブリッド Meetup 株式会社スリーシェイク Sreake事業部佐藤慧太 Copyright © 3-shake, Inc. All Rights Reserved.

まずは乾杯しましょう

あ、みんな、飲みましたよね？！それ今回、弊社 3-shake から提供をさせていただきましたのでせっかくだから、ちょっとだけ会社紹介させてください！（オンラインの方、ご提供できず申し訳ないです）

About 3-shake 　　 xOps Plattform DesignOps IaaS DevOps / SRE
RevOps (Revenue Ops) HR（Engineer Hiring） HROps Data Engineering DataOps Security DevSecOps SecOps 事業者が抱えるセキュリティリスクを無くす本格的な脆弱性診断を無料で手軽にセキュリファイ Security 良いエンジニアに良い案件をフリーランスエンジニアに「今よりいい条件」をリランス HR（Engineer Hiring）あらゆるサービスを連携するハブになるクラウド型ETL/データパイプラインサービスの決定版レコナー Data Engineering 日本のSREをリードする SRE総合支援からセキュリティ対策まで全方位支援スリーク SRE スリーシェイク = xOps領域のプラットフォーマーへ 4

　Sreake SRE（SRE総合支援サービス）技術戦略から設計、構築、運用までワンストップ支援する技術支援サービス技術戦略コンサルティングシステム設計構築 /
実装支援アセスメント（パフォーマンス / セキュリティ）運用支援 Micro Service , Multi Cloud や k8s をはじめとした Cloud Native な先進的技術及び大規模なサービス運用に強みを持つエンジニアによる技術支援ベンダー的な役割ではなく「お客様のチームメンバー」という立ち位置で最新技術の提案から運用支援までをトータルご支援 5

自己紹介佐藤慧太@SatohJohn • 2012/4 フリュー株式会社入社 ToC 向けのアプリケーション開発を 10年ほど経験
リードエンジニアとして 0からサービスを設計開発運用を経験 • 2023/1 株式会社スリーシェイク入社 SRE として労苦 <Toil>を減らす仕事に従事 Google Cloud Partner Top Engineer ’24、’25 生成 AI とかやってます

目次 1. Workforce Identity の紹介をする 2. Workforce Identity を設定する a.
Auth0 を設定する b. 試しに動かしてみる 3. Cloud Run jobs を動かしてみるここまでで2分

構成(簡略なもの) Auth0 Workforce Identity ログイン実行 IAM Cloud Run OIDC

Workforce Identity について 01 Copyright © 3-shake, Inc. All Rights
Reserved.

Workforce Identity について Workload identity Workforce identity ≠

Workforce Identity について Workload identity Workforce identity • アプリケーションやサービスなどの人間以外のエン
ティティが、Google CloudのリソースにアクセスするためのID • サービスアカウントキーの代わりにフェデレーション IDを使用するこれにより、セキュリティリスクを軽減し、ID管理を簡素化にする • Kubernetes や Compute Engine などのGoogle Cloud サービスで実行されているアプリケーションに適用できる • オンプレミスやマルチクラウド環境のワークロードにも使用できる • 外部IDプロバイダー (IdP) を使用して認証を行う。 Google Cloudは、 OpenID Connect (OIDC) をサポートしている多くのIdPと連携できる Gemini から

Workforce Identity について Workload identity Workforce identity • 従業員、請負業者、ベンダーなど、組織内の
人間が Google CloudのリソースにアクセスするためのID • Cloud Identity の Google Cloud Directory Sync (GCDS) とは異なり、既存のIdPからGoogle Cloud ID にユーザーIDを同期する必要がない • 属性マッピングと属性条件によるきめ細かなアクセス制御が可能 • シングルサインオン (SSO) を実現し、ユーザーエクスペリエンスを向上させることができます。 Gemini から

Workforce Identity について Workload identity Workforce identity ≠ アプリケーションやサービスがGoogle Cloudのリソースにアクセスする
必要がある場合は Workload Identity を使用します。従業員やパートナーがGoogle Cloudのリソースにアクセスする必要がある場合は Workforce Identity を使用します。

Workforce Identity を設定する 02 Copyright © 3-shake, Inc. All Rights
Reserved.

Auth0 の設定 1. Application の作成 2. Client ID、 Client Secret
Issuer の取得 3. Callback URL の設定

Auth0 の設定 1. Application の作成 2. Client ID、 Client Secret
Issure の取得 3. Callback URL の設定後で設定する poolId と providerId を入れておきましょう https://auth.cloud.google/signin-callback/locat ions/global/workforcePools/{poolId}/providers /{providerId}

Workforce Identity の設定 1. Pool の作成 2. 先程の情報を使って Provider の作成

a. OIDC の接続 b. レスポンスタイプは code c. マッピングは email と紐づける作成した後に session の期限を決められます最短15分最長 12時間です

a. OIDC の接続 b. レスポンスタイプ code (*1) c. マッピングは email と紐づける(*2) *1 Auth0 でやっていたところ、code じゃないとうまくいきませんでした、IdP により変更してください *2 email かどうかは要件によりますが、vertex ai search の acl の場合は email に紐づけないといけません

Workforce Identity ログインのテストをする 1. 作成された Provider に URL が生えているので、それをクリックし、ログインする
2. アカウント名に email が正しく入っていることを確認する

→ これがちょっとバグってる 2. アカウント名に email が正しく入っていることを確認する

→ これがちょっとバグってる a. https://auth.cloud.google/signin/locations/global/workforcePo ols/{poolID}/providers/{providerId}?continueUrl=https://cons ole.cloud.google/ にアクセスしてください 2. アカウント名に email が正しく入っていることを確認する https://cloud.google.com/iam/docs/workforce-console-sso#initiate-idp-link

1. 組織の Cloud Logging に対してログが流れるので以下のクエリで確認補足: Workforce Identity のログ確認 resource.type="audited_resource"
resource.labels.service="sts.googleapis.com" protoPayload.resourceName:"workforceIdentityPools/{poolId}/providers/{providerId}" https://cloud.google.com/iam/docs/audit-logging/examples-workforce-identity resource.type="audited_resource" resource.labels.service="sts.googleapis.com" protoPayload.authenticationInfo.principalSubject="{subject}" Provider Id で絞る場合 subject で絞る場合 (assertion.sub の値が入る)

Cloud Run jobs を動かしてみる 1. IAM の設定 2. 認証に使う設定ファイルの作成 3.
gcloud でのログイン 4. Cloud Run service を叩く

gcloud でのログイン 4. Cloud Run service jobs を叩く

gcloud でのログイン 4. Cloud run jobs を叩く ID ID の形式説明 Workforce Identity プール内の単一の ID principal://iam.googleapis.com/l ocations/global/workforcePools/ {POOL_ID}/subject/{SUBJECT_A TTRIBUTE_VALUE} Auth0 の特定の ID の人を権限設定するのであれば利用するグループ内のすべての Workforce ID principalSet://iam.googleapis.co m/locations/global/workforcePo ols/{POOL_ID}/group/{GROUP_I D} group で区切っており、それぞれで権限を分けたいのであれば利用する。特定の属性値を持つすべての Workforce ID principalSet://iam.googleapis.co m/locations/global/workforcePo ols/{POOL_ID}/{attribute.ATTRIB UTE_NAME}/{ATTRIBUTE_VALU E} 特定の attribution をつけているのであれば例えば mapping の際に assertion.sub をマッピングして利用するなど Workforce Identity プール内のすべての ID principalSet://iam.googleapis.co m/locations/global/workforcePo ols/{POOL_ID}/* 認証した人に全員同じ権限を付けるのであれば良い owner role をつけることはできません

gcloud でのログイン 4. Cloud run jobs を叩く $ gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/john-sample-pool/providers/sample-auth0 \ --output-file=wfi.json $ gcloud auth login --login-config=wfi.json $ gcloud run jobs execute job --project=test-satohjohn --wait

まとめ 1. Workforce identity を使って他の IdP の情報を使った権限管理ができる a. 金銭コスト、管理コストなどの理由で
Cloud Identity のユーザを使えない組織には使えるかも b. 今回触れませんでしたが、IdP の Group 情報を付与できるので、それを使うと管理しやすいと思います

まとめ 1. Workforce identity を使って他の IdP の情報を使った権限管理ができる a. 金銭コスト、管理コストなどの理由で
Cloud Identity のユーザを使えない組織には使えるかも b. 今回触れませんでしたが、IdP の Group 情報を付与できるので、それを使うと管理しやすいと思います 2. 今日のビールを美味しく飲んでいただいた方、今後とも 3-shake をよろしくお願いします！

Workforce Identity を使った権限管理で Cloud Run を動かしてみた

Workforce Identity を使った権限管理で Cloud Run を動かしてみた

SatohJohn

More Decks by SatohJohn

Other Decks in Programming

Featured

Transcript