Cloud DNS のマネージド ゾーン権限のご紹介
Google Cloud Japan Team
※この投稿は米国時間 2022 年 6 月 15 日に、Google Cloud blog に投稿されたものの抄訳です。
Cloud DNS チームは、マネージド ゾーン権限のプレビュー版をリリースいたしました。Cloud DNS は Identity and Access Management(IAM)サービスと統合されているため、Cloud DNS リソースへのアクセスを制御し、不要なアクセスを防ぐことが可能になります。このリリースにより、分散 DevOps チームを抱える企業は、Cloud DNS マネージド ゾーンの管理を個々のアプリケーションチームに委任できるようになります。
これまで、Cloud DNS はプロジェクト レベルでのみリソース権限に対応していました。そのため、IAM 権限の一元管理は粗い粒度でのみ可能でした。プロジェクトで特定の権限を持つユーザーは、その権限をその下のリソースすべてに対する権限も与えられていました。たとえばプロジェクトにマネージド ゾーンが複数含まれている場合は、プロジェクトにアクセスできる 1 人のユーザーが、そのプロジェクト内のどのマネージド ゾーンの DNS レコードでも変更できました。これにより、一部のお客様には 2 つの課題が生じました。
中央チームに、すべての DNS ゾーンとレコードの作成の管理を任せなければいけないこと。これはデプロイのサイズが小さい場合は、通常問題はありません。しかし、マネージド DNS ゾーンが多数あるお客様の場合、管理は中央チームにとって大きな負担となります。
1 人のユーザーが、複数のマネージド ゾーンの DNS レコードを変更できるため、DNS レコードの破損や、セキュリティの問題が起きる可能性があること。
今回のリリースで、Cloud DNS は、マネージド ゾーン レベルでより細かい粒度のアクセス制御が可能になりました。これにより、管理者はマネージド ゾーンの運用の責任を個々のアプリケーションチームに委任でき、あるアプリケーションチームが別のアプリケーションの DNS レコードを誤って変更することを防げます。また、許可されたユーザーのみがマネージド ゾーンを変更でき、最小権限の原則がより適切に守られるため、セキュリティ体制が向上します。このリリースにより IAM のロールと権限が変更されることはありません。必要に応じて追加の粒度を利用できるようになっただけです。Cloud DNS の IAM ロールの詳細については、IAM によるアクセス制御をご参照ください。
この機能は、お客様が共有 VPC 環境を使用している場合にも役立ちます。一般的な共有 VPC 設定では、サービス プロジェクトが仮想マシン(VM)アプリケーションまたはサービスの所有権を持っていますが、VPC ネットワークとネットワーク インフラストラクチャの所有権はホスト プロジェクトが持ちます。多くの場合、サービス プロジェクトのリソースと一致するように VPC ネットワークの名前空間から DNS 名前空間が作成されます。このような設定では、各サービス プロジェクトの DNS 名前空間の管理を各サービス プロジェクトの管理者(多くは別の部門または事業)に委任するほうが便利です。プロジェクト間のバインディングを使用すると、VPC ネットワーク全体の DNS 名前空間の所有権から、サービス プロジェクトの DNS 名前空間の所有権を分離できます。これとマネージド ゾーン権限を組み合わせることで、ホスト プロジェクト(およびその他のサービス プロジェクト)がそれぞれのプロジェクトから名前空間にアクセスできるようにしつつ、サービス プロジェクト内のマネージド ゾーンは、サービス プロジェクトの所有者のみが管理できるようになります。
マネージド ゾーン権限を構成および使用する方法の詳細については、ドキュメントをご覧ください。
- Cloud DNS プロダクト マネージャー Karthik Balakrishnan