Cloud IAMとは
Google Cloud リソースへのアクセス制御を管理するサービス。「誰が(プリンシパル)」「何を(ロール)」「どのリソースに対して」できるかを定義するポリシーベースの認可システム。
ロールには基本ロール(Owner・Editor・Viewer)・事前定義ロール・カスタムロールの 3 種類があり、最小権限の原則に従い事前定義ロールかカスタムロールを使うことが推奨される。
プリンシパルには Google アカウント・グループ・サービスアカウント・ドメインなどがある。サービスアカウントは VM や Cloud Run などのワークロードがリソースにアクセスする際の ID として機能する。
試験での問われ方
CDL/ACE 最重要トピックの一つ。最小権限の原則の適用(Owner ロールを業務ユーザーに付与しない)、サービスアカウントキーの代わりに Workload Identity や Application Default Credentials を使う設計が問われる。
ACE では ポリシーの継承(組織→フォルダ→プロジェクト→リソース)と deny ポリシー(拒否が優先する)の仕組み、サービスアカウントの権限借用(Impersonation)と直接鍵ファイルの使用リスクの違いが引っかけになりやすい。
このサービスが登場する演習問題(17問)
- 【CDL】Google Cloudの「プロジェクト」の主な役割として、最も正しいものはどれですか?
- 【CDL】ある企業が、Google Cloudで「Secret Manager」を利用することを検討しています。Secret Ma…
- 【CDL】ある企業が、Google Cloudの「Identity Platform」の主な用途を検討しています。Identity…
- 【CDL】ある企業が、Google CloudのIAMにおける「条件付きロールバインディング(IAM Conditions)」を活…
- 【CDL】ある企業が、Google CloudのCompute EngineにSSHアクセスする際のセキュリティ強化を検討していま…
- 【CDL】ある企業が、Google Cloudの「Cloud Asset Inventory」を活用したいと考えています。Clou…
- 【CDL】ある企業が、Google Cloudの「Policy Intelligence」ツールを使ってIAM設定を分析したいと考…
- 【CDL】ある企業が、Google CloudのCompute Engineにおいて、特定のVMが利用できる最大CPU数やストレー…
- 【CDL】ある企業が、Google CloudでのIAM設計において「グループ(Google Groupsを使ったIAMグループ)…
- 【CDL】ある企業が、Google Cloudのプロジェクトでセキュリティ上の問題を継続的に検出するため「Security Hea…
- 【ACE】あなたはプロジェクトを新規作成しようとしていますが、「リソースクォータを超えています」というエラーが発生しました。この問…
- 【ACE】あなたの会社では、Compute Engine インスタンスに SSH でアクセスする際に、デフォルトの SSH キーを…
- 【ACE】あなたの会社では、Cloud Run サービスを社内ユーザーのみがアクセスできるように制限したいと考えています。Goog…
- 【ACE】Cloud Storage バケットに保存された顧客データを特定のサービスアカウントのみが読み取れるようにしたいと考えて…
- 【ACE】あなたの会社では Security Command Center を使用して Google Cloud 環境のセキュリテ…
- 【ACE】Cloud Functions(第 2 世代)をデプロイした後、アクセスしようとしても「403 Forbidden」エラ…
- 【ACE】マルチテナントの SaaS アプリケーションで、テナントごとに異なる Cloud KMS キーを使ってデータを暗号化して…