Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Workforce Identity を使った 権限管理で Cloud Run を動かしてみた
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
SatohJohn
November 22, 2024
Programming
0
870
Workforce Identity を使った 権限管理で Cloud Run を動かしてみた
2024 年 11 月 22 日(金) Jagu'e'r Cloud Native #16 ハイブリッド Meetup にて発表させていただきました。
SatohJohn
November 22, 2024
Tweet
Share
More Decks by SatohJohn
See All by SatohJohn
NVIDIA NeMo Agent Tooklit を使ってみた
satohjohn
0
64
Gemini Enterprise を恐れない - Securityと監査-
satohjohn
0
150
進化の早すぎる生成 AI と向き合う
satohjohn
0
670
お前も Gemini CLI extensions を作らないか?
satohjohn
0
150
検索システムにおけるセキュリティ
satohjohn
0
87
Feature Flag 開発を標準化し、加速させる OpenFeature を導入する
satohjohn
4
2.6k
ADK Java が出たので AI Agent を作ろう
satohjohn
0
200
NotebookLM + Agentspace を使った(開発)体験
satohjohn
1
900
Open Feature 面白いぞ
satohjohn
0
120
Other Decks in Programming
See All in Programming
MDN Web Docs に日本語翻訳でコントリビュート
ohmori_yusuke
0
640
AI前提で考えるiOSアプリのモダナイズ設計
yuukiw00w
0
220
AIによるイベントストーミング図からのコード生成 / AI-powered code generation from Event Storming diagrams
nrslib
2
1.8k
15年続くIoTサービスの SREエンジニアが挑む 分散トレーシング導入
melonps
2
160
AI 駆動開発ライフサイクル(AI-DLC):ソフトウェアエンジニアリングの再構築 / AI-DLC Introduction
kanamasa
12
6.4k
AIと一緒にレガシーに向き合ってみた
nyafunta9858
0
150
今こそ知るべき耐量子計算機暗号(PQC)入門 / PQC: What You Need to Know Now
mackey0225
3
370
16年目のピクシブ百科事典を支える最新の技術基盤 / The Modern Tech Stack Powering Pixiv Encyclopedia in its 16th Year
ahuglajbclajep
5
980
公共交通オープンデータ × モバイルUX 複雑な運行情報を 『直感』に変換する技術
tinykitten
PRO
0
210
余白を設計しフロントエンド開発を 加速させる
tsukuha
7
2.1k
責任感のあるCloudWatchアラームを設計しよう
akihisaikeda
3
150
CSC307 Lecture 08
javiergs
PRO
0
660
Featured
See All Featured
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
0
310
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
110
A Modern Web Designer's Workflow
chriscoyier
698
190k
Utilizing Notion as your number one productivity tool
mfonobong
2
210
Designing Experiences People Love
moore
144
24k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
How to make the Groovebox
asonas
2
1.9k
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
170
Rebuilding a faster, lazier Slack
samanthasiow
85
9.4k
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
1
97
The Curse of the Amulet
leimatthew05
1
8.2k
AI: The stuff that nobody shows you
jnunemaker
PRO
2
240
Transcript
Workforce Identity を使った 権限管理で Cloud Run を動かしてみた Jagu'e'r Cloud Native
#16 ハイブリッド Meetup 株式会社 スリーシェイク Sreake事業部 佐藤慧太 Copyright © 3-shake, Inc. All Rights Reserved.
まずは乾杯しましょう
あ、みんな、飲みましたよね?! それ今回、弊社 3-shake から提供をさせていただきましたので せっかくだから、ちょっとだけ会社紹介させてください! (オンラインの方、ご提供できず申し訳ないです)
About 3-shake xOps Plattform DesignOps IaaS DevOps / SRE
RevOps (Revenue Ops) HR(Engineer Hiring) HROps Data Engineering DataOps Security DevSecOps SecOps 事業者が抱える セキュリティリスクを無くす 本格的な脆弱性診断を 無料で手軽に セキュリファイ Security 良いエンジニアに良い案件を フリーランスエンジニアに 「今よりいい条件」を リランス HR(Engineer Hiring) あらゆるサービスを連携する ハブになる クラウド型ETL/データパイプ ラインサービスの決定版 レコナー Data Engineering 日本のSREをリードする SRE総合支援からセキュリティ 対策まで全方位支援 スリーク SRE スリーシェイク = xOps領域のプラットフォーマーへ 4
Sreake SRE(SRE総合支援サービス) 技術戦略から設計、構築、運用までワンストップ支援する 技術支援サービス 技術戦略 コンサルティング システム 設計 構築 /
実装 支援 アセスメント (パフォーマンス / セキュリティ) 運用支援 Micro Service , Multi Cloud や k8s をはじめとした Cloud Native な先進的技術及び大規模なサービス 運用に強みを持つエンジニアによる技術支援 ベンダー的な役割ではなく「お客様の チームメンバー」という立ち位置で最新技術の提案から運用支援 までをトータルご支援 5
自己紹介 佐藤 慧太@SatohJohn • 2012/4 フリュー株式会社 入社 ToC 向けのアプリケーション開発を 10年ほど経験
リードエンジニアとして 0からサービスを 設計開発運用を経験 • 2023/1 株式会社スリーシェイク 入社 SRE として労苦 <Toil>を減らす仕事に従事 Google Cloud Partner Top Engineer ’24、’25 生成 AI とかやってます
目次 1. Workforce Identity の紹介をする 2. Workforce Identity を設定する a.
Auth0 を設定する b. 試しに動かしてみる 3. Cloud Run jobs を動かしてみる ここまでで2分
構成(簡略なもの) Auth0 Workforce Identity ログイン 実行 IAM Cloud Run OIDC
Workforce Identity について 01 Copyright © 3-shake, Inc. All Rights
Reserved.
Workforce Identity について Workload identity Workforce identity ≠
Workforce Identity について Workload identity Workforce identity • アプリケーションやサービスなどの 人間以外のエン
ティティ が、Google Cloudのリソースにアクセスする ためのID • サービスアカウントキーの代わりに フェデレーション IDを使用する これにより、セキュリティリスクを軽減し、ID管理を簡 素化にする • Kubernetes や Compute Engine などのGoogle Cloud サービスで実行されている アプリケーションに適用できる • オンプレミス や マルチクラウド 環境のワークロードに も使用できる • 外部IDプロバイダー (IdP) を使用して認証を行う。 Google Cloudは、 OpenID Connect (OIDC) をサポー トしている多くのIdPと連携できる Gemini から
Workforce Identity について Workload identity Workforce identity • 従業員、請負業者、ベンダー など、組織内の
人間 が Google CloudのリソースにアクセスするためのID • Cloud Identity の Google Cloud Directory Sync (GCDS) とは異なり、既存のIdPからGoogle Cloud ID にユーザーIDを同期する必要がない • 属性マッピング と 属性条件 によるきめ細かなアクセス 制御が可能 • シングルサインオン (SSO) を実現し、ユーザーエクス ペリエンスを向上させることができます。 Gemini から
Workforce Identity について Workload identity Workforce identity ≠ アプリケーションやサービスがGoogle Cloudのリソースにアクセスする
必要がある場合は Workload Identity を使用します。 従業員やパートナーがGoogle Cloudのリソースにアクセスする 必要がある場合は Workforce Identity を使用します。
Workforce Identity を設定する 02 Copyright © 3-shake, Inc. All Rights
Reserved.
Auth0 の設定 1. Application の作成 2. Client ID、 Client Secret
Issuer の取得 3. Callback URL の設定
Auth0 の設定 1. Application の作成 2. Client ID、 Client Secret
Issuer の取得 3. Callback URL の設定
Auth0 の設定 1. Application の作成 2. Client ID、 Client Secret
Issure の取得 3. Callback URL の設定 後で設定する poolId と providerId を入れておきま しょう https://auth.cloud.google/signin-callback/locat ions/global/workforcePools/{poolId}/providers /{providerId}
Workforce Identity の設定 1. Pool の作成 2. 先程の情報を使って Provider の作成
Workforce Identity の設定 1. Pool の作成 2. 先程の情報を使って Provider の作成
a. OIDC の接続 b. レスポンスタイプは code c. マッピングは email と 紐づける 作成した後に session の期限を決められます 最短15分 最長 12時間です
Workforce Identity の設定 1. Pool の作成 2. 先程の情報を使って Provider の作成
a. OIDC の接続 b. レスポンスタイプ code (*1) c. マッピングは email と 紐づける(*2) *1 Auth0 でやっていたところ、code じゃないとうまくいき ませんでした、IdP により変更してください *2 email かどうかは要件によりますが、vertex ai search の acl の場合は email に紐づけないといけません
Workforce Identity ログインのテストをする 1. 作成された Provider に URL が生えているので、 それをクリックし、ログインする
2. アカウント名 に email が正しく入っていることを確認する
Workforce Identity ログインのテストをする 1. 作成された Provider に URL が生えているので、 それをクリックし、ログインする
→ これがちょっとバグってる 2. アカウント名 に email が正しく入っていることを確認する
Workforce Identity ログインのテストをする 1. 作成された Provider に URL が生えているので、 それをクリックし、ログインする
→ これがちょっとバグってる a. https://auth.cloud.google/signin/locations/global/workforcePo ols/{poolID}/providers/{providerId}?continueUrl=https://cons ole.cloud.google/ にアクセスしてください 2. アカウント名 に email が正しく入っていることを確認する https://cloud.google.com/iam/docs/workforce-console-sso#initiate-idp-link
1. 組織の Cloud Logging に対してログが流れるので以下のクエリで確認 補足: Workforce Identity のログ確認 resource.type="audited_resource"
resource.labels.service="sts.googleapis.com" protoPayload.resourceName:"workforceIdentityPools/{poolId}/providers/{providerId}" https://cloud.google.com/iam/docs/audit-logging/examples-workforce-identity resource.type="audited_resource" resource.labels.service="sts.googleapis.com" protoPayload.authenticationInfo.principalSubject="{subject}" Provider Id で絞る場合 subject で絞る場合 (assertion.sub の値が入る)
Cloud Run jobs を動かしてみる 03 Copyright © 3-shake, Inc. All
Rights Reserved.
Cloud Run jobs を動かしてみる 1. IAM の設定 2. 認証に使う設定ファイルの作成 3.
gcloud でのログイン 4. Cloud Run service を叩く
Cloud Run jobs を動かしてみる 1. IAM の設定 2. 認証に使う設定ファイルの作成 3.
gcloud でのログイン 4. Cloud Run service jobs を叩く
Cloud Run jobs を動かしてみる 1. IAM の設定 2. 認証に使う設定ファイルの作成 3.
gcloud でのログイン 4. Cloud run jobs を叩く ID ID の形式 説明 Workforce Identity プール 内の単一の ID principal://iam.googleapis.com/l ocations/global/workforcePools/ {POOL_ID}/subject/{SUBJECT_A TTRIBUTE_VALUE} Auth0 の特定の ID の人を権限設 定するのであれば利用する グループ内のす べての Workforce ID principalSet://iam.googleapis.co m/locations/global/workforcePo ols/{POOL_ID}/group/{GROUP_I D} group で区切っており、それぞれで 権限を分けたいのであれば利用す る。 特定の属性値 を持つすべての Workforce ID principalSet://iam.googleapis.co m/locations/global/workforcePo ols/{POOL_ID}/{attribute.ATTRIB UTE_NAME}/{ATTRIBUTE_VALU E} 特定の attribution をつけているの であれば 例えば mapping の際に assertion.sub をマッピングして利用 するなど Workforce Identity プール 内のすべての ID principalSet://iam.googleapis.co m/locations/global/workforcePo ols/{POOL_ID}/* 認証した人に全員同じ権限を付ける のであれば良い owner role をつけることはできません
Cloud Run jobs を動かしてみる 1. IAM の設定 2. 認証に使う設定ファイルの作成 3.
gcloud でのログイン 4. Cloud run jobs を叩く $ gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/john-sample-pool/providers/sample-auth0 \ --output-file=wfi.json $ gcloud auth login --login-config=wfi.json $ gcloud run jobs execute job --project=test-satohjohn --wait
まとめ 1. Workforce identity を使って他の IdP の情報を使った権限管理ができる a. 金銭コスト、管理コスト などの理由で
Cloud Identity のユーザを使えない組織には使えるかも b. 今回触れませんでしたが、IdP の Group 情報を付与できるので、それを使うと 管理しやすいと思います
まとめ 1. Workforce identity を使って他の IdP の情報を使った権限管理ができる a. 金銭コスト、管理コスト などの理由で
Cloud Identity のユーザを使えない組織には使えるかも b. 今回触れませんでしたが、IdP の Group 情報を付与できるので、それを使うと 管理しやすいと思います 2. 今日のビールを美味しく飲んでいただいた方、今後とも 3-shake を よろしくお願いします!
satohjohn
ohmori_yusuke
yuukiw00w
nrslib
melonps
kanamasa
nyafunta9858
mackey0225
ahuglajbclajep
tinykitten
tsukuha
akihisaikeda
javiergs
katarinadahlin
jacobtomlinson
chriscoyier
mfonobong
moore
tanoku
asonas
frankvandijk
samanthasiow
retrage
leimatthew05
jnunemaker
