Google Cloud：IdPとアカウント周りについてまとめた

執筆者の知識

• クラウド系の資格はAzureの資格（AZ-900,104,500,303,304,700,SC-200,300）、AWSはSAAのみ、**Google Cloudは6つ**所持 合計：15
• ITの職歴は過去にセキュリティ部署に所属（Azure Sentinel関連）、現在はGoogle Cloud周りを担当
• クラウドの実務経験は少ない
• Google Cloud（以下本文ではGCP）は２ヶ月ちょいほどの学習経験

今回の内容

今回はGoogle Cloudにおけるアカウント周りの理解を深めるための情報をブログにします。
出来ることやその仕組みの考え方を載せているので、それぞれの細かな詳細については割愛しております。

また、基本的な組織構造を把握していると理解も深まると思います。

以前にブログでも紹介しております。
Google Cloud：Cloud Billingと組織の概要についてざっくりまとめてみた

ユーザーアカウントの種類

Google Cloud主要アカウント3つ

・ユーザーアカウント
・Google Group
・サービスアカウント

ユーザーを束ねるドメイン単位のリソース

・Google Workspace
・Cloud Identity

簡単に図に示すとこんな感じです。

アプリケーションに権限を付与したいのか、まとめてユーザーに権限を付与したいのか、によって使用するIAMアカウントの種類が変わってくる仕様です。
（この辺りの考え方は３大クラウドで大した違いはないかと思います。もちろん仕組みは結構違います。）

全てのユーザーに権限を付与する

また、全てのユーザーに権限を付与する時に活用できる仕組みがあり下記4つから選択することができます。

• 全ユーザー（all user）
• 認証済みの全てのユーザー
• Google Workspaceドメイン
• Cloud Identityドメイン

上記、ユーザーアカウントの種類とユーザーの権限については少し長いですが、IAMの概要をご覧ください。

ユーザー権限の管理

前項で5つのリソースを挙げましたが、それらにどのような考えで権限を与えるのか。

・誰が（前項に示したリソースたち）
・どの操作を（権限）
・何に対して（目的のリソース）

※Google Groupにつてはそれ自体での認証などは行えないため注意

ちなみに過去にも組織やポリシーなどについてまとめているので、合わせてご参照ください。　　 （結構内容が被っている部分はありますが、今回は知識内容のアップデートということでご容赦ください）
Google Cloud：IAMのイメージについてざっくりまとめてみた

さらに、条件を重ねたい場合はIAM Conditionなるものを使用して、IPアドレス帯やデバイスを制限あせてアクセスを管理できます。

企業で使用する際のポリシー管理

企業でデバイスやユーザーカウントのセキュリティ強化のために、最低限守ってほしい事項を強制するのがポリシーです。

そして、そんな時活躍するのが先程ご紹介したGoogle WorkspaceとCloud Identityです。

こちらはドメイン単位で登録するもので、予め企業が使用するドメインを購入しておかなければ使用できません。

そして、Google Cloudではこの登録したドメイン配下に存在するアカウントたちに対して組織ポリシーなるものを通して、ポリシーを適応させます。（AWSではSCPにあたる模様、AzureではAzure ADに適応させるポリシーにあたるかな？）

外部IdPとCloud Identityの関係を簡単に図示するとこんな感じです。

Identity Provider（IdP）のマッピング

そして、もし既に企業でIdentity Provider（IdP）を使用している場合にはそれをCloud Identityにマッピングすることができます。

Google Cloud Diarectory Sync

オンプレミスでActive Directoryを使用している場合にはGoogle Cloud Diarectory Syncを使用する。

アダプタを使用したサードパティIdP

Azure ADなどのサードパティのIdPを使用している場合には、ユーザー情報を複製させるアダプタなるのもが用意されているためそれを活用する。

詳しくは、今後マッピングを実演する機会があれば紹介できればな〜、、、と思っています。

シングルサインオン（SSO）

また、SAMLを使用してCloud IdentityとGoogleアプリ、サードパティのアプリと連携する シングルサインオン（SSO）を行うことも可能です。
※詳しくはURLをご確認ください

Cloud Identityの公式ドキュメントについては下記をご参照ください。
-Cloud Identityの公式ドキュメント-

まとめ

以上、簡単にCloud Identityに付随する機能などをまとめました。 現状、Google Cloudを企業で利用する上ではリソースとしての組織利用は必須です。（組織がなければサポートが購入できないなどの制限もある）

個人で使用する分には必要ありませんが、本格的にGoogle Cloudを企業でるようするとなるとセキュリティ面での危険性があることを忘れてはいけません。

IAMや組織の仕組みは、最低限設定しておかなければならない必須項目です。また今回は概要までの紹介に留めておりますが、IAM関連の知識はクラウドを運用していく上での土台となることを念頭に組織にあったクラウドの枠組みを作成することがおすすめです。（使用するクラウドのベストプラクティスを参考に）

最後に一言

実は私、IT業界に入る前はパーソナルトレーナーをやっており、モデルの方などをお客様としてお教えしていた事もあって、女性のダイエットの悩みなどの解決も得意です！もちろん、自信でのトレーニングは週５ではやっているので、男性のトレーニングについてもお教え可能かと思います。
そこで、記事の最後に実用的なダイエット知識も時々入れて行きたいなと思っております?

私が考えるディズニーランド/シーでのダイエット思考法

今回は、私がディズニーへ行くときに考慮している太らない考え方についてお教えします。
日常生活でも応用できる考え方なので、永久保存版です！！！
まず、ダイエットにおいて特別需要なのが、その日にどのくらいカロリーを消費したかです。基本的に、基礎代謝＋活動代謝＝その日の消費カロリーになります。
そこでこの活動代謝というのは、どのくらい1日24hで運動や生活する上で動いてカロリーを消費したかという指標のことを指します。

はい、ここで来ました。ディズニー内の動きかたについて考えてみましょう。主に挙げられる運動としては下記の4つがあると思います。

・歩く（約15000~25000歩ほど）：大雑把に、消費Kcal1000前後
・立って並ぶ（４時間〜６時間くらいかな？）：大雑把に、消費Kcal300~500前後
・ジェットコースターで叫ぶ（時間不明だが体にはかなり力が入る）：不明だが消費Kcal50前後くらいかな、、、？
・そしてさらにディズニーで暴飲暴食する可能性があると踏んでいる私は、ディズニー前の朝に筋トレします。しかも高消費カロリーな脚のトレーニングがおすすめ：消費Kcal100~150前後かな、、、？（筋トレ自体の消費Kcalは少ないが、その後の代謝が上がることによりその1日を通して消費Kcalが上がる）

もはやこれだけ動いた日には、消費Kcalなんて3000Kcalは余裕で超えているはずです。（筋肉量と男女によって異なるが、基本的に筋肉量多い方が消費Kcal多し）
みなさん、少し分かりにくいかも知れませんが、その日の消費カロリーを意識した、食事の取り方をするこれに勝るダイエット思考法は私の経験上知りえません！！！！！ ???