Google CloudのID管理:ユーザーからワークロードまでの種類を解説

Google CloudのID管理:ユーザーからワークロードまでの種類を解説

今回は、Google Cloudのみの技術だけではなく、ID関連の認証技術の紹介も含みます。
Clock Icon2024.03.15

概要

Google Cloud を使用するには、ユーザーとワークロードに Google Cloud が認識できる ID が必要です。

個人でGoogleクラウドを利用する上で使用するアカウントとして@gmail.comドメインの無料ユーザアカウントが存在します。

このアカウントは、個人で使用する場合などで試しにGoogleクラウドを使用する場合や、検証環境として利用する場合の事始めに便利です。

また、同じくユーザアカウントとして組織のドメインを登録して、Google Cloudにログインするユーザーが存在します。
(あらかじめレジストラから別途購入している@example.comなどが該当します。)

システムが使用するサービスアカウントIDも存在し、他にもGoogle Cloudにアクセスするために使用されるさまざまな種類のIDがあります。

例えばSAML IDOAuth 2.0クライアントIDなどがあります。
これらは、特定のサービスへのアクセスを制御するために使用されます。

今回はそのそれぞれのユーザを作成する際の根本的な知識として、アカウントIDを解説していきます。

Google CloudにおけるユーザーID

Google Cloudが認識できるIDが、ユーザーIDとなると冒頭で引用しましたが、そのユーザーを作成するには、いくつかの方法が存在します。

  • Cloud Identityアカウントを作成する
    • Google CloudのIDPとなります。この中にGoogleアカウントとしてユーザーを作成します。
  • Google Workspaceアカウントを作成する
    • 有料の企業向けコラボレーションツールです。ここにCloud Identityと同じくGoogleアカウントとしてユーザーを作成します。

よって、Cloud IdentityアカウントまたはGoogle Workspaceアカウントを持つユーザーを利用して、Google Cloudにアクセスすることができます。

主にこの2つのアカウントを利用するのは組織で管理されるユーザーアカウントとなります。
(@gmail.comのIDは個人での利用が推奨されております)

フェデレーション ユーザー ID

ID を連携させると、ユーザーが既存の ID と認証情報を使用して Google サービスにログインできるようになります。

外部のシステムなどと連携し、Google Cloudを操作させたい場合などに使用するのがフェデレーション ユーザー IDです。

GCIまたはGWSとの連携

外部で作成されたIDをCloud Identity(GCI)または Google Workspace(GWS)と連携させることで、Googleサービスへのアクセス時のSSOを可能にします。(外部IDプロバイダにリダイレクトすることで認証を実現させます)

このタイプのID連携を使用するには、ユーザーは外部IdPに存在するユーザーIDとCloud IdentityまたはGoogle Workspaceで対応するGoogle アカウントの両方を持っている必要があります。

Googleにはこれらのアカウントの同期方法として、Google Cloud Directory Sync(GCDS)が存在し、サードパーティを使用してプロビジョニングすることも可能です。
(例:Azure ADやActive Directoryでアカウントのプロビジョニングを設定)

Cloud Identity または Google Workspace を使用した連携の詳細については、シングル サインオンをご覧ください。

Workforce Identity 連携

外部 ID プロバイダ(IdP)を使用して、IAM を使用して従業員(従業員、パートナー、請負業者などのユーザー グループ)を認証および認可し、ユーザーが Google Cloud サービスにアクセスできるようにします。

先程のGCDSとは異なり、既存のIdPからGoogle Cloud IDにユーザーIDを同期する必要はなく、Google CloudのID機能を拡張して、同期のない属性ベースのSSOを実現します。

Workforce Identity連携の詳細については、Workforce Identity 連携の概要をご覧ください。

Workload Identity連携

ID 連携を使用することで、サービス アカウント キーを使用せずに、Google Cloud リソースへのアクセス権を、オンプレミスまたはマルチクラウドのワークロードに付与できます。

サービスアカウントキーを使用せずに、外部のIDからのアクセス許可するのがWorkload Identity連携です。

あらかじめサービスアカウントを作成し、外部のプロバイダーにアタッチすることで、Google Cloud リソースへの接続を許可します。

私が過去に実際に行った検証では、Terraform CloudからGoogle Cloudにアクセスして、リソースを構築するといった連携です。

これにはOIDCを使用して各属性をマッピングすることでTerraform Cloudからのアクセスを許可します。

まとめ

Google Cloudでは、個人ユーザーが@gmail.comの無料アカウントを使用して試用や検証を行うことができ、組織はGoogle WorkspaceCloud Identityを通じて独自ドメインのアカウントを管理します。

また、システムやサービスがGoogle Cloudリソースにアクセスするためにはサービスアカウントが使用され、SAMLやOAuth2.0などの認証技術が特定のサービスへのアクセス制御に利用されます。

今回は、Google Cloudのみの技術だけではなく、ID関連の認証技術の紹介もしました。
少しでもこの記事がお役に立てれば幸いです。

筋トレのWorkout Identity

この題名は完全に親父ギャグの類ですが、 筋トレで1番大事なのはワークロードを設定することです。
むやみやたらに筋トレを行っても、最初の数ヶ月は筋肉がつきやすい期間のため、結果も出ると思います。

ただし「科学的根拠に基づいた筋トレ、そして栄養学に基づいた食事」こちらを両立させることにより効率を最大限に引き上げ、その結果を享受できます。

あなたは筋トレを行い「健康、マッチョ、美しいスタイル」という名のロールを自分に付与しましょう。
これらのロールは人類全て付与することが許されているロールです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.