DevelopersIOGoogle Cloud へのログインに MFA 有効化が必須に。影響は?何をすべき?
https://dev.classmethod.jp/articles/google-cloud-login-mfa/
#dev_classmethod #Google_Cloud_GCP #MFA #Google_Cloud_Identity #Google_Workspace_G_Suite #Firebase
Google Cloud スタートアップガイド:Googleアカウントの選び方と組織セットアップ方法を解説
https://dev.classmethod.jp/articles/google-cloud-account-first-step-guide/
#dev_classmethod #Google_Cloud_GCP #Google_Cloud_Identity #組織 #Google_Workspace_G_Suite #ドメイン #セキュリティ #組織ポリシー
Cloud Functions と Secret Manager でサービスアカウントキーローテーションを自動化してみた。
https://dev.classmethod.jp/articles/sa-key-auto-rotation-w-gcf/
#dev_classmethod #Google_Cloud_GCP #Google_Cloud_Functions #Google_Cloud_Identity
Cloud Functions と Secret Manager でサービスアカウントキーローテーションを自動化してみた。 | DevelopersIO
こんにちは、みかみです。 仕事中に犬が「遊べ」とおもちゃの紐を持ってくるので、無視を貫き通していたら、肩に紐を置いて去ってゆきました(このくさい紐をどうしろと? はじめに 2024/04以降に Google Cloud プロジェクトを作成した場合、デフォルトで有効になる組織ポリシーがいくつか追加になりました。 いずれもセキュリティ強化に関する項目です。 2024/04以前に作成した Google Cloud プロジェクトをお使いの場合には、一部のポリシーを除き自動で有効にはならないので、一度組織ポリシーを見直してみるのも良いのではないかと思います。 デフォルトで安全な組織リソースの管理 | Resource Manager ドキュメント デフォルトで有効化されることになった組織ポリシーの中に、下記、サービスアカウントに関するポリシーがあります。 サービスアカウントキー作成を無効にする: iam.disableServiceAccountKeyCreation その名の通り、サービスアカウントキーの発行を禁止する組織ポリシーです。 Google Cloud では、近年、サービスアカウントの認証には、キー情報ではなく Workload Identity 連携を利用することが推奨されています。 Workload Identity 連携 | IAM ドキュメント とはいえ、これまでずっとサービスアカウントキーを利用して本番運用しているシステムなど、認証方法の変更が簡単にできないケースもあるのではないでしょうか。 そんな時には、以下の組織ポリシーを有効にして、サービスアカウントキーローテーションを強制することを検討しても良いのではないかと思います。 なお、こちらのポリシーは2024/04以降もデフォルト有効にはなりません。 サービス アカウント キーの有効期限(時間): constraints/iam.serviceAccountKeyExpiryHours 特定のサービスの制約 | Resource Manager ドキュメント サービス アカウント キーの有効期間を制限する | Resource Manager ドキュメント ですが、人間は忘れる生き物です。 手動でのキーローテーションを想定している場合、作業を忘れてシステム障害が発生するリスクも否定できません。 また、定期的なローテーション作業には労力がかかることになります。 ということで。 やりたいこと サービスアカウントキーを定期的に自動でローテーションしたい Cloud Functions をスケジュール起動して、Secret Manager に登録済みのサービスアカウントキーを新しいキーに置き換えたい 前提 Google Cloud SDK(gcloud コマンド)の実行環境は準備済みであるものとします。 本エントリでは、Cloud Shell を使用しました。 Cloud Shell の使用 | Cloud Shell ドキュメント また、Cloud Functions や Secret Manager など各サービス操作に必要な API の有効化と必要な権限は付与済みです。 なお、文中、プロジェクトIDに関する一部の文字は伏字に変更しています。 [準備]Secret Manager のシークレットを作成 以下のコマンドで、サービスアカウントキーを保管しておく Secret Manager のシークレットを作成しておきます。 [準備]サービスアカウントを作成 以下のコマンドで、検証用のサービスアカウントを作成しました。 [準備]サービスアカウントキーを作成して Secret Manager に登録する ローテーションするサービスアカウントキーを作成して、Secret Manager に登録します。 後ほど Cloud Functions で実行するため、以下の Pyhon コードで実行しました。 念のため、正常にシークレットバージョンが登録されたか確認しておきます。 …
Google CloudのID管理:ユーザーからワークロードまでの種類を解説
https://dev.classmethod.jp/articles/google-cloud-id-management/
#dev_classmethod #Google_Cloud_GCP #IAM #ID管理 #Google_Cloud_Identity #Google_Workspace_G_Suite
