Cloud IAM のカスタム ロールできめの細かいセキュリティを

IT セキュリティの目的は、適切な人が適切なリソースに適切な形でアクセスできるようにすることです。必要と認められたアクセスだけを可能にすることを「最小権限の原則」と言い、企業におけるセキュリティ ポリシーの土台になっています。

この最小権限の原則を Cloud IAM において適用できるようにする機能が、このほど正式リリース（GA）されたカスタム ロールです。これを使えば、業務に必要な権限だけをユーザーに対して容易に付与できます。

Google Cloud Platform（GCP）では、Owner（オーナー）、製品やジョブ固有のロール、さらには Cloud Storage Viewer のように範囲の狭いものまで、数百種もの事前定義済みロールを提供しています。これらは、仮想マシンの起動から機械学習モデルでの予測に至る GCP のあらゆる API を制御する数千もの IAM 権限を組み合わせたものです。カスタム ロールは、GCP サービス全体にわたって権限を本番レベルの品質で組み換えられるようにして、事前定義済みロールよりもさらにきめの細かいセキュリティ制御を可能にします。

ニーズに合わせたセキュリティ

データを列挙するだけなら、データを復号する権限は必要ありません。プロジェクト全体を表示するための事前定義済みロールは .query、.decrypt、.get をセットで許可しますが、カスタム ロールなら .get だけを付与できます。カスタム ロールでは複数の GCP サービスの権限を組み合わせることも可能なので、サービス アカウントに対するすべての権限を 1 つにまとめ、全社でその新ロールを共有することができます。

カスタム ロールが役に立つのはサービスだけではありません。ユーザーも、自分の仕事に合わせて適切に調整されたロールのメリットを享受できます。

たとえば、ある規制のもとでは、プライバシー監査人は顧客の個人情報（PII）をすべて検査できなければならないのに対し、PII を処理できるのは正社員だけだとします。職務次第では、監査人（データを削除できるようにしてはならない）に Bigquery Data Owner を認めると権限が強くなりすぎるし、正社員（データの検索やレポートの作成が必要）に Bigquery Data Viewer を認めただけでは弱すぎる場合があります。こういうケースで IAM カスタム ロールを使用すれば、実際の職務に合わせて権限を追加、削除できます。

カスタム ロールの管理

私たちは、カスタム ロールのテスト、デプロイ、メンテナンスの推奨プラクティスも提案しました。カスタム ロールの変更の追跡と管理のために Cloud Deployment Manager との統合を強化し、プロジェクト内と全社の両方でカスタム ロールの作成と更新を行えるようにしました（サンプル コードはこちら）。リソースの作成、構成、セキュリティ設定を制御する Cloud Deployment Manager と IAM カスタム ロールを併用すれば、最小権限の原則を自動的に適用するのに役立ちます。

次の一手

また、権限の許可および拒否理由を説明するオープンソース ツールの開発に Forseti Security と共同で取り組んでいます。最小権限の原則を最小の労力で可能にすることを目指しています。

* この投稿は米国時間 1 月 31 日、Product Manager である Rohit Khare と、Engineering Manager である Pradeep Madhavarapu によって投稿されたもの（投稿はこちら）の抄訳です。

- By Rohit Khare, Product Manager and Pradeep Madhavarapu, Engineering Manager