コンテンツに移動
Google Cloud

Cloud IAM のカスタム ロールできめの細かいセキュリティを

2018年2月9日
Google Cloud Japan Team

IT セキュリティの目的は、適切な人が適切なリソースに適切な形でアクセスできるようにすることです。必要と認められたアクセスだけを可能にすることを「最小権限の原則」と言い、企業におけるセキュリティ ポリシーの土台になっています。

この最小権限の原則を Cloud IAM において適用できるようにする機能が、このほど正式リリース(GA)されたカスタム ロールです。これを使えば、業務に必要な権限だけをユーザーに対して容易に付与できます。

Google Cloud Platform(GCP)では、Owner(オーナー)、製品やジョブ固有のロール、さらには Cloud Storage Viewer のように範囲の狭いものまで、数百種もの事前定義済みロールを提供しています。これらは、仮想マシンの起動から機械学習モデルでの予測に至る GCP のあらゆる API を制御する数千もの IAM 権限を組み合わせたものです。カスタム ロールは、GCP サービス全体にわたって権限を本番レベルの品質で組み換えられるようにして、事前定義済みロールよりもさらにきめの細かいセキュリティ制御を可能にします。

ニーズに合わせたセキュリティ

例として、Cloud Storage バケット、BigQuery テーブル、Cloud Spanner データベースで在庫データを管理するために複数の GCP サービスにアクセスするツールを考えてみましょう。

データを列挙するだけなら、データを復号する権限は必要ありません。プロジェクト全体を表示するための事前定義済みロールは .query、.decrypt、.get をセットで許可しますが、カスタム ロールなら .get だけを付与できます。カスタム ロールでは複数の GCP サービスの権限を組み合わせることも可能なので、サービス アカウントに対するすべての権限を 1 つにまとめ、全社でその新ロールを共有することができます。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/image1111.gif

カスタム ロールが役に立つのはサービスだけではありません。ユーザーも、自分の仕事に合わせて適切に調整されたロールのメリットを享受できます。

たとえば、ある規制のもとでは、プライバシー監査人は顧客の個人情報(PII)をすべて検査できなければならないのに対し、PII を処理できるのは正社員だけだとします。職務次第では、監査人(データを削除できるようにしてはならない)に Bigquery Data Owner を認めると権限が強くなりすぎるし、正社員(データの検索やレポートの作成が必要)に Bigquery Data Viewer を認めただけでは弱すぎる場合があります。こういうケースで IAM カスタム ロールを使用すれば、実際の職務に合わせて権限を追加、削除できます。

オーストラリアとニュージーランドでショッピング センターを所有、運営する大手企業の弊社にとって、データ セキュリティは事業の根幹です。Cloud IAM のカスタム ロールは、弊社のセキュリティ基準、法的要件、オーストラリアのプライバシー原則を満たすのに役立っています。カスタム ロールは、権限をきめ細かくチューニングし、最小権限の原則を厳格に守れるようにして、特定の個人やマシンだけが実行する特権的なタスクに対する ID およびアクセス制御を実現してくれます。

Evgeny Minkevich 氏、Scentre Group のインテグレーション ソリューション アーキテクト

カスタム ロールの管理

GCP は絶えず進化、拡張しており、そのことはすべての API を制御する一連の権限にも当てはまります。現在は、定義済みロールのみでテスト、サポートされている一部を除き、ほぼすべての権限がカスタマイズ可能です。また、新しい権限の追加と既存権限のサポート レベルの変更に対応できるようにするため、すべての公開 GCP サービスを対象とする権限変更ログと、カスタム ロールでサポートされる権限のリストも用意されています。

私たちは、カスタム ロールのテスト、デプロイ、メンテナンスの推奨プラクティスも提案しました。カスタム ロールの変更の追跡と管理のために Cloud Deployment Manager との統合を強化し、プロジェクト内と全社の両方でカスタム ロールの作成と更新を行えるようにしました(サンプル コードはこちら)。リソースの作成、構成、セキュリティ設定を制御する Cloud Deployment Manager と IAM カスタム ロールを併用すれば、最小権限の原則を自動的に適用するのに役立ちます。

次の一手

私たちは、カスタム ロールの作成および管理の支援を含め、IAM をより強力で使いやすくするための取り組みを引き続き行っていきます。手始めに、権限変更ログを定期的に更新して、お客様が Google の新サービス、ロール、権限に合わせてカスタム ロールをメンテナンスできるようにします。

また、権限の許可および拒否理由を説明するオープンソース ツールの開発に Forseti Security と共同で取り組んでいます。最小権限の原則を最小の労力で可能にすることを目指しています。

* この投稿は米国時間 1 月 31 日、Product Manager である Rohit Khare と、Engineering Manager である Pradeep Madhavarapu によって投稿されたもの(投稿はこちら)の抄訳です。

- By Rohit Khare, Product Manager and Pradeep Madhavarapu, Engineering Manager

投稿先