Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azure ADとCloud Identityの基礎を比較(With Cloud)
Search
yasu
July 20, 2023
0
2.9k
Azure ADとCloud Identityの基礎を比較(With Cloud)
AzureとGoogle Cloudを使用する上で、IDPがどのような役割をするのかお話しした時の資料です。
yasu
July 20, 2023
Tweet
Share
More Decks by yasu
See All by yasu
【健康&筋肉と生産性向上の関連性】 【Google Cloudを企業で運用する際の知識】 をお届け
yasumuusan
0
330
筋トレ会社説明会【元パーソナルトレーナーが筋トレ/ダイエットメソッドを大公開】
yasumuusan
0
650
Google Cloudを組織(企業)で運用する時のベストプラクティス × 健康の環境分離戦略 #まるクラ勉強会
yasumuusan
0
650
Google Cloud Next '24でブログを10本書いた方法と勉強会を沸かせた方法
yasumuusan
0
540
Next'24 事例セッションの紹介とクラウド資格を活用したキャリア形成について語りMuscle
yasumuusan
1
740
【登壇】今こそ筋トレと健康をIaC化する時が来ました(GCP:Infrasturacture Managerも語りました)
yasumuusan
0
1.7k
Google Cloud Next’23「Title:出店ブースで10社以上におすすめ機能を質問してきた」
yasumuusan
0
610
ITエンジニアこそ筋トレをやるべき理由 徹底解説
yasumuusan
7
54k
AKIBA.SaaS資料
yasumuusan
0
1k
Featured
See All Featured
A better future with KSS
kneath
238
17k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k
How to Think Like a Performance Engineer
csswizardry
20
1.1k
Practical Orchestrator
shlominoach
186
10k
Designing for Performance
lara
604
68k
Navigating Team Friction
lara
183
14k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
Intergalactic Javascript Robots from Outer Space
tanoku
269
27k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Facilitating Awesome Meetings
lara
50
6.1k
Transcript
Azure ADとCloud Identityの基礎を比較 2023年7月15日 アライアンス事業部 エンジニアグループ 室井 靖成 1
自己紹介 • アライアンス事業部 エンジニアグループ • Google Cloudのリセール周りを担当 • Microsoft Sentinelを少し触っていた過去
• 趣味:筋トレ、野良猫探索、格闘技 • クラウド資格 ◦ Google Cloud9個、Azure8,9個、AWS1 個 • トレーナー歴4年 ◦ マジ筋トレ歴6年以上 ◦ NSCA CSCS
東京のDev.IOでも登壇しました ❏ 「ITエンジニアこそ筋トレをやるべき理由を徹底解説 With Google Cloud」 • 弊社の名だたる優秀なエンジニアを差し置いて筋肉がITメディア さまに紹介頂きました 「ITエンジニアこそ筋トレをやるべき理由」SIerのクラスメソッドが
無料公開 • 「クラメソ 筋肉 GCP」 で検索してください!!
今回の概要 ❏ 内容として • 機能の優劣を比較するものではありません • Microsoft Azure、Google Cloudを使用する上で必要なID管理基 盤の概念と仕組みの違いを解説します
以下、Azure と GCPとします
こんな感じで見てください ❏ 資格試験の参考に ❏ こういう権限管理の違いがあるんだな〜 ❏ Azureの資格更新は年1、GCPは2年1回
目次 1. クラウドを使用するには何が必要? 2. Cloud Identity 3. Azure AD 4.
まとめ
その前に Azure Active Directory Microsoft Entra ID 名称が変更されましたが 今回はAzure ADで話します
1.クラウドを使用するには何が必要? ❏ Google Cloud(旧GCP) • Google アカウント + プロジェクト +
(請求先アカウント) ❏ Microsoft Azure • Azure AD + サブスクリプション + (リソースグループ) ※ Microsoftアカウントは一旦無視します ※Azureにも 請求プロフィール、請求アカウントもある
Google Cloudの場合 ❏ Google アカウント •
[email protected]
のような単体のユーザーを作成 ❏ プロジェクト •
Google Cloudに固有のリソースを作成する箱 ❏ 請求先アカウント • クレカを登録して、使用できるリソースを増やす (必須だがなくてもGCPの登録はできる) Identity & Access Management
Azureの場合 ❏ Azure AD • IDP、ユーザーをこの中に作成 ❏ サブスクリプション • Azure
ADに紐づく(ぶら下がる形で使用する) subscription ❏ Azure AD と Azureサブスクリプションの課金は別 • Azure ADはIDP単体としての機能を提供 • 請求プロフィールと請求アカウント
クラウドを触るときの IDP の役割 ❏ Google Cloud Cloud Identity • Google
Cloudを使用する際にはオプションとして提供 ◦ Free or Premium ❏ Azure Active Directory • Azureを使用する際には必ず必要 ◦ Freeプラン P1プラン P2プラン Microsoft Entra ID Governance Cloud Identity Azure AD
Cloud Identity
2.Cloud Identity(Google Workspace) ❏ GCPで組織を作成する際に必須なリソース ❏ 所持しているドメインと紐づけを行う(@classmethod.jp..etc) ❏ セキュリティ機能の有効化に必須 セキュリティ要
素
Cloud Identity 階層化
組織階層を理解する ❏ 組織の全体像 【ドメイン-組織→フォルダ→プロジェクト→リソース】 • ドメインと組織は1:1 • フォルダは組織配下に作成し、主に部門ごとに分ける用途などに使用する(フォルダを 入れ子にすることは可能で ある)
• フォルダ配下にプロジェクトを作成する、プロジェクトは 各環境ごとに作成するのがよい(開発プロジェクト、運用プ ロジェクト、検証プロジェクト…etc) ※Google Cloudドキュメントから抜粋
[email protected]
1:1
❏ ポリシーとはなんぞや?? エンティティ+ロール(権限の集合体)=ポリシー(ロールバインディング) エンティティ→ユーザー、グループ、サービスアカウント、ドメイン ❏ ポリシーの割り当て ポリシーを組織/フォルダ/プロジェクト/リソース(一部のみ) NWの編集者ロール(権限)を例にして説明する roles/compute.networkAdmin ポリシーは上から下へ継承される
組織階層を理解する
組織 セキュリティ機能の有効化 ❏ VPCサービスコントロール • 境界線を作成し、IAMで制御できない範囲をカバーする ❏ Security Command Center
(SCC) • さまざまなセキュリティスキャンを実行する機能 ❏ 組織ポリシー • 組織、フォルダ、プロジェクトごとにポリシーを定義する ❏ 階層型ファイアウォールポリシー • 組織、フォルダ、プロジェクトごとにFWルールを定義する ❏ ログの集約 • 組織のログを一箇所に集約する機能
VPCサービスコントロール ❏ 概要 • Google CloudのAPIを介したデータの流れを制御する機能 • 適切なポリシーを持つユーザーも制限される ❏ 対象となるサービス
• BigQueryやGoogle Cloud Storage(GCS)などのAPIを介すサービスのデータを 保護 • サポートされているプロダクトに限る→App Engine、Bare Metal Solutionは❌ ❏ 機能 • 外部リソースが Google Cloud サービスにアクセスできるかどうかを制御する • 外部リソースが特定のGoogle Cloud サービスにのみアクセスできるようにする • VPC-SC内のリソースが外部にアクセスできないようにすることができる ◦ VPC ネットワークもAPIサービスも含む
VPCサービスコントロール
VPCサービスコントロール
VPCサービスコントロール 権限を持った人でもその全ての権 限を行使できる訳ではない
組織ポリシー ❏ 概要 • 組織単位でリソースを制御する機能 ❏ 対象となるサービス • 組織、フォルダ、プロジェクト ❏
特徴 • 上位 → 下位へと継承されていく • 特定のリージョンでしかリソースを作成できなくする ◦ 「constraints/gcp.resourceLocations」リソースの場所を制限 • 特定のリソースタイプの作成を禁止するなど ◦ 「constraints/compute.trustedImageProjects」信頼するプロジェクトからしか Compute Engineインスタンス のイメージを使用できないようにする
Cloud Identity 階層化
階層型ファイアウォールポリシー ❏ 概要 • 組織単位でファイアウォールルールを制御する機能 ❏ 対象となるサービス • 組織全体、フォルダ、またはVPCネットワークに対してファイアウォールのルールを 一貫して適用するための機能
❏ 機能 • 上から下へ継承される • 下位のリソースでオーバーライド可能 ◦ 個々のVPCやサブネットでも可能
階層型ファイアウォールポリシー
Google Workspace(GWS) ❏ SaaS製品 • ドキュメント、スライド、AppScript、Gmail、Meet…etc ❏ 月額 or 年単位
• プランは4つ ❏ Google Cloudとの関係 • Cloud Identityと同じ役割を持つ(ドメインを登録する) • 管理コンソールのUIが同じ( admin.google.com ) • ドメインの所有権の証明が必要 ◦ GWS、GCP(Cloud Identity)両方で必要=ドメインが必須
Cloud Identity まとめ ❏ Google Cloud内のリソースである組織の作成で必要 • Google Cloudを企業として運用していくための権限管理 •
豊富なセキュリティ機能を使用するため ❏ 個別の管理コンソール • 個別でログインが必要な、Google Cloudコンソールとは別のUI画面がある ❏ 個別の契約となる • Free or Premiumを選択する ❏ GWSと同じ管理コンソールにアクセスする • 内部の機能は一部異なる
Azure AD
3.Azure AD ❏ Azure AD テナント • Azureを使用する上では必ず必要(GCPと異なる) • Azure
ADの中にユーザーを作成する(GCPと異なる) • サブスクリプションは1つのAzure ADに所属する subscription subscription subscription テナント subscription ⭕ ❌ テナント
Azure ADの役割 ❏ ユーザーとグループの管理 • Azure サブスクションとAzure ADの権限管理は別物 ◦ グローバル管理者
→ Azure AD(テナントへの権限) ◦ オーナーロール → サブスクリプション(RBAC) ❏ IDとアクセス管理 • ユーザーの認証/認可、SSO、アカウント保護(二段階認証や暗号化など) • Azure B2B、Azure B2C • 監査、レポート機能 • 特権ID管理(Privileged Identity Management:PIM) • Identity Protection機能
Azure ADとサブスクリプションの権限管理 ❏ Azure ADの権限(Azure ADディレクトリロール) • Global Administrator •
User Account Administrator • Guest Inviter • Privileged Role Administrator ❏ サブスクション権限(RBAC/リソース ロール/IAM制御) • Owner • User Access Administrator • Contributor • Reader
Azure ADの権限 ❏ Azure ADの権限(Azure ADディレクトリロール) • Global Administrator ◦
Microsoft365の権限も合わせ持つ • User Account Administrator ◦ ユーザーに権限を付与する • Guest Inviter ◦ 他のAzure ADユーザーを招待する • Privileged Role Administrator ◦ 時限性/期限付きの権限割り当てを行う....etc
Azure ADのテナントと組織 ❏ Azure AD テナント • 1組織につき、1つのAzure ADテナントを使用(推奨) ◦
他のテナントのリソースを触りたい ◦ Guest Inviter 機能が存在する • セキュリティのため(野ばなしのアカウントの制御) subscription テナントA subscription テナントB 招待可能
管理グループ ❏ Azure サブスクリプションをまとめる • 部署ごと(人事部門、IT部門、財務部門...etc) • 管理グループの入れ子も可能 subscription テナント
subscription テナント 招待可能
Azure ADのPrivileged Identity Management(PIM) ❏ 特権アクセス権限の管理(PIM) • Azure AD P2の機能
• 権限を付与するためのロール ◦ オンデマンドで割り当てが可能(期限付き:60minだけ 付与/剥奪) ◦ Azure ADとAzureリソースに対するJust-In-Timeの特権アクセスの提供 • アクセスレビュー ◦ 特定のロール(権限)の棚卸しを行う
Azure ADのIdentity Protection機能 ❏ リスクベースの条件付きアクセスポリシー • サインイン時のリスクを評価 ◦ ユーザーがサインインを試みる際のリスクレベルを評価 ◦
(例)不審なIPからの接続や異常なログイン試行といったパターンが検出された 場合、リスクが高まると判断し、評価されたリスクレベルに基づいて、条件付き アクセスポリシー(ユーザーに対する追加的な認証要求やブロック)が適用され る • ユーザーアカウントの危険度を評価 ◦ ユーザーアカウントが危険にさらされていることを示すシグナルを評価 ◦ ブラックマーケットを見張る ▪ 不正な取引所でユーザーの資格情報が売買されていることが確認された 場合、そのユーザーのリスクレベルが上昇する そうしたシグナルが検出された場合にも、特定のアクション(例えばパス ワードのリセット要求)がトリガーされる
Azure ADのIdentity Protection ❏ リスクベースの条件付きアクセスポリシー • サインイン時のリスク ◦ あり得ない移動 ◦
悪意のある IP アドレス ◦ 異常なユーザー アクティビティ ◦ 匿名 IP アドレス
Azure ADの BtoB BtoC の機能 ❏ Azure AD BtoB •
企業間での協業を支援する機能 ◦ 自社のAzure環境のインフラ構築のために、他の企業のAzure ADテナントに所 属するAzure ADユーザーを招待し協業する ❏ Azure AD BtoC • コンシューマー向けのID連携を提供する ◦ 自社開発の「一般ユーザー向けのショッピングアプリケーション」を使用させる 際に、Azure ADとFacebookやTwitterを連携させて、ユーザー認証は FacebookやTwitterに委任し、Azure ADで認可する
Azure リソースの権限管理
Azure リソースへの権限管理 ❏ Azure リソースへのアクセス権限(RBAC/リソース ロール/IAM制御) • Owner ◦ サブスクリプション全ての権限を持つ
• User Access Administrator ◦ ユーザーへの権限の割り当てが可能 • Contributor ◦ 権限の割り当て以外が可能 • Reader ◦ 読み取りアクセスが可能
Azure リソースへの権限割り当て ❏ リソースへの権限制御 • ユーザーやグループに対してのもの • サブスクリプション単位で権限を付与 • リソースグループ単位で権限を付与(GCPでは無い概念)
• リソース単位権限を付与(GCPでは基本やらない)
Azure リソースへのポリシー割り当て ❏ ポリシーの付与 • そのリソースに対して、付与できる値や配置できる場所を制御する ◦ 特定のリージョンでのVMの作成を禁止 ◦ 特定の仮想マシンサイズを許可
◦ 特定のSKUの利用を制限 ◦ 全てのポリシーは和集合 ◦ 管理グループ、サブスクリプション、リソース グループ、リソース
既定のディレクトリ(試用版のAzure AD) ❏ Microsoftアカウントで作成したサブスクリプション • 仮のAzure ADテナントが作成される • 緊急事態用の設定ができない ◦
Azure サブスクリプションへの全権限を取得できる機能がある ❏ Azure ADユーザーアカウント / マイクロソフトアカウント • 使用する目的が異なる • Azure ADユーザーアカウント ◦ 主に組織内での使用を目的としており、ユーザーの管理やアクセス制御を一元 化するためのもの(組織内のリソースへのアクセス制御) • マイクロソフトアカウント ◦ 個々のユーザーがMicrosoftのコンシューマ向けサービスにサインインするため のもの(Xbox、Skype、 OneDriveなど、あくまでも個人)
まとめ
まとめ ❏ 共通すること • ユーザーとグループ、アプリケーションの権限管理 • セキュリティ機能の提供 ◦ 階層型FWポリシー ◦
VPCサービスコントロール ◦ PIM(特権ID管理) ◦ リスクに基づいたアクセス制御 ❏ プラン • プラン選定は基本有料プラン使用が前提となる • それぞれデバイス管理機能なども搭載 • 他サービスとの連携多数
最後に
47 Google Cloud リセールサービス(3%割引) • お客さまの利用費から3%割引でGoogle Cloudをご提供 • Google Cloudのリセールサービスご契約のお客さまには無償で
サポートを提供します(β版 2024年 1月あたりまで)
筋トレと健康のQAでもいいです
Google Cloudで言い換えると、、 ❏ 筋トレをしていない身体の状態 • 筋トレをしていない状態はいわば、 組織なしの単一CGEで f1-micro の状態でアプリケーショ ンを動かしているのと同じ
◦ 組織が無い=ポリシーなどがなく、セキュリティがまっさらな状態 ◦ GCPはカスタムマシンを定義できる • ロードバランサーがなく、何もカバーができないアプリケーション構成 ◦ グローバルロードバランサーを使用すると 1つのグローバルIPで複数リージョンでバック エンドを配置できる(Serverless NEG、MIG、Internet NEG、Cloud Storage)
筋肉とセロトニン ❏ 筋トレによってセロトニンが分泌される • セロトニンの別名は幸福ホルモン ◦ 脳内で作用するホルモン ◦ 気分、行動、思考、食欲など、私たちの精神的な状態に大きな影響 ◦
睡眠を深くする働き→不安やうつ病といったメンタルな問題を緩和 リズム運動 リズム運動×有酸素 筋トレ
筋肉とβエンドルフィン ❏ 筋トレによってβエンドルフィンが分泌される • 強力な鎮痛作用の効果 • 筋トレや運動で心拍数向上 →ストレス状態と認識する、ストレスの対抗策としてエンドルフィン を放出する •
エンドルフィンは体全体に影響を与え、痛みやストレスを軽減し、気分を高揚させる効果があ る • 筋トレ後の放出により、その後も 1日中あなたをハッピーな状態にしてくれる ◦ ストレスの緩和(打ち消し)、睡眠の質の向上 ...etc
筋トレによる生涯に通じる健康効果 ❏ さまざまな健康効果 • 心臓病リスクの低減 ◦ 心臓の強化(心肥大) ▪ 通常は心臓の機能を向上させるため、健康に問題はないが、過度な筋トレを行う と心臓に負担が大きくかかり心筋の肥大が過剰に進む
◦ 体脂肪減少による悪玉コレステロール値の改善、血流の改善による心疾患リスクの減 少 • 骨密度の改善 ◦ コラーゲンの線維芽細胞が骨を強化する(筋トレが低身長にするは嘘)
筋トレによる生涯に通じる健康効果 ❏ さまざまな健康効果 • 免疫力の向上 ◦ ナチュラルキラーセル( NK細胞)というウィルスに対抗する細胞が活性化する ▪ 免疫応答の初期段階で活性化され、感染した細胞やがん細胞を攻撃する
▪ ストレスや生活習慣、高齢化などによって、 NK細胞の数や活動が低下する可能 性があり、すると身体はウィルスやがん細胞に対抗する力が減退し、感染症にか かりやすくなったり、がんのリスクが高まったりする ▪ 身体を動かすと血流が増え NK細胞が体中を流れる機会が増える これにより、ウィルスやがん細胞を発見しすばやく攻撃する可能性が高まる ▪ 適度な運動でNK細胞が増える
筋トレによる生涯に通じる健康効果 ❏ さまざまな健康効果 • ホルモン ◦ マイオカイン、BDNF、成長ホルモン(IGF-1)、セロトニン...etc • サルコペニアの予防 ◦
加齢による筋肉量が著しく落ちる病気を予防 →転倒、骨折など物理的危険性減 • 認知症の予防 ◦ 脳の血流が改善され、脳細胞の活性化 ◦ BDNFの分泌 → 脳細胞の成長と修復
完全な経験談 ❏ 完全な体験談に基づく筋肉コミュニケーション利活用方法 • 初対面はとりあえずきんにくんしておけば何とかなる • 話に詰まった時は相手の健康の悩みを聞く • 業務に関係ない相談がおおい(=部署外のコミュにケーション多数) •
Googleさんにも筋トレのアドバイスで打ち解ける • 合コンで「あたしも筋トレ教えて〜」となることがある(冗談です ....半分) • クラメソの社員に覚えてもらえる ◦ 例:社長に「お!筋肉やってる?」「腕立てしよう」となった
1. レッツ質問タイム 56 • お酒って太るの? • リバウンドしたくない ... • 筋トレを効率よく続けるには?
• どのくらいの期間やれば結果が出るの? • 筋トレの時間は? • たくさん食べて痩せたいのですが ... • 女性へおすすめの筋トレは? • 大きくなりたい人の筋トレメニューを教えて .....etc • 筋肉が多い人が太りにくい理由 なんでも聞いてください