Google Cloud Next '24は、2024年4月9日から4月11日の3日間、アメリカ・ラスベガスのMandalay Bayにおいて開催されるGoogleのクラウドサービスに関する世界最大級のイベントです。開発者、エンジニア、IT専門家、業界リーダーが集結し、3日間にわたり技術の最前線を駆け巡ります。特に今年のイベントは、AI/ML(人工知能・機械学習)にフォーカスが当てられ、セッションの約4割がAI/ML関連となり、その最新情報が発表されることが強く期待されています。
私たち日本情報通信株式会社も、Google Cloudに精通した専門家として、技術イノベーションの最新動向を取り入れ、顧客に対するソリューション提供に活かしていくことを目指して参加しています。
このような貴重な機会ですので、現地からいち早くブログで最新情報や熱量を発信してまいります。
本ブログでは私が現地でセッションを聴講していて特に興味深いと感じた内容を抜粋してご紹介させていただきます。
まずGoogle CloudではプロジェクトにIDを登録する際に、画像のように選択肢が3つ存在しています。この3つの内のどれかでIDを登録することでGoogle Cloudのリソースにアクセスしています。
本セッションではIAM Boundaryというものが近日サービスとしてリリースされることが発表されました。こちらのサービスはユーザーに対して明確にプロジェクトごとの境界を設定することができるサービスになっています。
このサービスは、例えばユーザーAがHOGE組織内のプロジェクトXとFUGA組織のプロジェクトYでそれぞれBigQuery管理者権限を持っているとします。そうすると、ユーザーAはプロジェクトXでプロジェクトYのデータに対して現在はクエリを打つことが可能になっています。このことはデータの流出というインシデントが発生しうることを意味しています。IAM Boundaryは、ユーザーAはプロジェクトYの中でしかプロジェクトYのデータに対してクエリを打つことができないようにするIAMのサービスとなっています。
セッションではPreviewとなっているPrivileged Access Manager(PAM)が紹介されました。
このPAMはIAMのガバナンスをさらに利かせるために利用されることが想定されています。
現在のIAMではユーザーに権限を付与する場合はただコンソール上で権限を付与するのみとなります。しかし、PAMを使うことでカスタム条件(権限付与の有効期限など)が付いた複数の権限セットを付与することができるようになり、さらにユーザーはこの権限セットが欲しい時に申請を出すといった操作が可能になります。この申請についても申請することが可能なユーザーを設定することも可能なため、今までのIAMよりもガバナンスを利かせてアクセス管理を実施することができると紹介されていました。
セッションではPreviewとなっているCloud Infra Entitlement Management(CIEM)が紹介されました。
このCIEMは現在のIAMの管理をAWSのIAM管理まで包括的に実施するためのサービスとして登場しました。マルチクラウドが進んだ現在、すべてのクラウドサービスのIAMの管理をそれぞれのサービスのコンソールで実施することは大変な労力となります。その労力をこのCIEMは取り除くことができるそうです。
今年の後半にはCIEMはAWSとAzureのIAMの管理と過剰な権限が付与されていればIAM Recommenderが働いて指摘してくれるようになるとのことです。
また、Chronicleとの統合機能もあり、Security Command CenterにてIAMの設定に脆弱性があれば指摘するという機能も存在するとのことです。
セッションではCustom Organization PolicyとGemini Cloud Assistという機能も紹介されました。
Custom Organization PolicyはGCS、GCE、GKE、Dataprocの4つのサービスを対象としてすでにリリースされています。これらのサービスに対して、例えばGKEのクラスターを作成する際にバイナリ認証を強制させるといったようなカスタムの組織ポリシーを作成したりすることができるサービスとなります。
Gemini Cloud AssistはIAMのコンソール画面で実行することができるGeminiの支援サービスとなります。ユーザーに対して付与する権限の相談やどういった権限がIAMのロールに存在するかをチャット形式で確認することができるサービスとなり、あまりGoogle CloudのIAMのロールに精通していない方に対してサポートを強化できるサービスと考えられます。
会場はイベント1日目の早い時間帯のセッションということもあり、とても多くの方が聴講に来られていました。
セッションの終わりには、今回紹介されたIAMサービスとTerraformなどのIaCサービスが競合した場合に、どのようなことが起きるのかといった質問が出ていたので、もうすでに業務に取り入れた想定を立てている方もいらっしゃったりと注目度が高いセッションだったと感じました。
IAMの管理は地味で労力かかる作業だと私は感じているので、その管理作業が楽に進めていくことができるようになるサービスが続々と出てきていることに知らなかったため、新鮮な気持ちでセッションを聴講することができたと思います。今後もIAMの周辺サービスを注視したいと思います。
Google Cloud、Google Workspaceに関する お問い合わせはこちら
XIMIX®は日本情報通信株式会社が所有する登録商標です。(商標登録第6755234号)