データベース

Cloud SQL の IAM グループ認証を発表

2024年8月2日

Shambhu Hegde

Product Manager, Google Cloud

Neha Bhatnagar

Database Specialist Customer Engineer, Google

Join us at Google Cloud Next

Early bird pricing available now through Feb 14th.

※この投稿は米国時間 2024 年 7 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。

データアクセスの管理と監査がきわめて複雑になることがあります。特に、膨大なユーザーを抱えるデータベース群で顕著です。このたび、ユーザー管理とデータベース認証の簡素化を図るために、Cloud SQL for PostgreSQL と Cloud SQL for MySQL の Identity and Access Management（IAM）グループ認証をリリースしました。これにより、開発者、データベース管理者、セキュリティ管理者は、簡素化されたデータベースアクセス、より優れたセキュリティ管理、より効率的で大規模なユーザー管理を実現できるようになります。

Cloud SQL の IAM グループ認証を使用すると、お客様は Google Cloud Identity グループを使用して Cloud SQL のインスタンスとデータベースへのアクセスを管理できます。IAM グループ認証は、既存の IAM データベース認証機能を拡張したもので、個々のユーザーレベルではなくグループレベルでデータベースアクセスを管理できるようにします。

IAM グループ認証のメリット

IAM グループ認証には、個々のユーザーまたはサービスアカウントをベースにした IAM 認証よりも優れたメリットがいくつかあります。

簡素化されたユーザー管理

一元的な管理: IAM 権限とデータベース権限をグループレベルで管理するため、複数のユーザーのアクセスを同時に追加、削除、変更する操作をより簡単に行うことができます。同じグループ内のすべてのユーザーは同じ IAM 権限とデータベース権限を持つため、一貫性のある均一なアクセスの確保が容易になります。
管理オーバーヘッドの削減: IAM グループ認証では、ユーザーごとにデータベースアクセスポリシーを作成、管理しなくて済むため、時間と労力を節約できます。また、データベース管理者やセキュリティ管理者は、データベースアクセスを管理する際の反復的な作業から解放されます。

強化されたセキュリティ

最小権限の原則とエラーのリスクの低減: 最小権限の原則に従い、不正アクセスのリスクを最小限に抑えながら、職務を表すグループにきめ細かい権限を割り当てます。
容易な監査: 監査ロギングが有効になっている場合、グループメンバーごとに監査エントリが生成されます。これにより、各グループメンバーのアクセスを追跡および監査できるため、コンプライアンスとインシデント管理が簡素化されます。

スケーラビリティ

多数のユーザーを効率的に管理: IAM グループ認証を使用すると、データベースにアクセスする必要がある開発者やユーザーが数百人いる場合でも、データベース権限の管理が簡素化されます。IAM グループを使用してデータベースユーザーを移行できるため、Cloud SQL への移行が容易になります。
組織の変更への適応性: 新しいチームやプロジェクトなど、組織の変更に応じてグループ全体のデータベース権限を簡単に調整できるようになります。メンバーがチームに加わったりチームから去ったりした場合、そのような変更を個々のユーザーレベルではなくグループレベルで管理できるため、古い権限が残ったり過剰な権限が付与されたりするリスクが低減します。
柔軟性: さまざまなアクセスレベルを持つ複数のグループを作成できるため、特定の職務や責任に合わせてデータベース権限を調整できます。

全体として、IAM グループ認証は、個々のユーザーベースの IAM 認証と比べて、アクセス制御の効率的で安全かつスケーラブルな管理手法です。これにより、管理タスクを効率化し、エラーのリスクを低減し、組織の構造やニーズの変化に簡単に適応できます。

IAM グループ認証のサンプルユースケース

異なるチームやユーザーロールのアクセス: 必要なデータベース権限のレベルはチームごとに異なります。IAM グループ認証のグループベースのアプローチでは、組織のチームと責任に適した方法で権限を割り当てることができます。たとえば、開発者グループとテスト担当者グループを作成して、それぞれ開発データベースとテストデータベースへのアクセスを制限すれば、職掌分散の原則を実装できます。
一時的なアクセス: 一時的な読み取り専用権限を必要とするユーザーを、データベースオブジェクトに対する権限が制限されたグループに追加できます。また、ユーザーがタスクを完了したら、そのアクセス権を簡単に取り消すことができます。

IAM グループ認証を使ってみる

ご使用の環境で IAM グループ認証を有効にするのは簡単です。gcloud CLI、Cloud コンソール、Terraform、API での IAM グループ認証の使用方法については、ドキュメントをご覧ください。

https://storage.googleapis.com/gweb-cloudblog-publish/images/1-Blog-Image.max-700x700.png

IAM グループ認証を使用してデータベースユーザー管理を簡素化

Cloud SQL for PostgreSQL と Cloud SQL for MySQL の IAM グループ認証は、データベースユーザー管理の簡素化、セキュリティ強化、管理上の負担の軽減、均一で一貫性のあるアクセスポリシーの適用を可能にする強力なツールです。IAM グループ認証を標準として採用することで、組織は効率的で安全かつスケーラブルなデータベースアクセス管理を実現できます。今すぐこの新機能を試して、そのメリットを実感してください。

IAM グループ認証の詳細は、PostgreSQL についてはこちら、MySQL についてはこちらのドキュメントをご覧ください。Cloud SQL の詳細については、こちらをクリックしてください。