WEB+DB PRESS vol 114 の AWS/GCP セキュア化を読んだ
東京に居た頃と違って仕事帰りに本屋でちょっとができなくなったので、 WEB+DB PRESS もなんとなく毎号ではなく、気になった記事がある場合だけ注文という感じになってしまってました。
というのはさておき、最近 GCP を触ることが多く、ちょうどセキュリティ周りが気になっていたので買ってみました。
全体的に
自分は AWS 環境で仕事をしていた経験はあったので、今回の記事のように AWS と GCP を比較しながらはとてもありがたかったです。
第一章で出てきたセキュリティマネージドサービスの対比も、これがあるだけで「あー、AWS のこれが、GCP のこれかぁ」と頭に入ってきて助かしました。
また、ストレージのアクセス制御や、セキュリティ監査に必要なものなど、私自身はインフラに責任を持つ立場ではないので、なかなか踏み込めない部分もざっと学ぶことができてよかったです。
その他個別に気になったもの
IAMのセキュア化
ポリシーがあって、ロールがあり、それをユーザーやグループに割り当てるとう点では、あまり違いを感じませんでした。
GCP を最初に触った時は「編集者」「閲覧者」のような表記が「なんだこれ」と思いましたが、基本の役割ということですね。
GCP で面白いなと思ったのはサービスアカウントで、AWS だと Lambda 関数を作ったりすると、それにロールを割り当ててそこから S3 等へのアクセスを許可してましたが、GCP の場合はサービスアカウントが使えると。
ここ数日、ローカルの Jenkins から GCP 環境の操作をしたりしてましたが、サービスアカウントを一つ作っておけば、そのキーでやり取りできて便利でした。
ローカルではなく GCE に配置していれば、GCE のメタデータサーバーから引っ張るんでしょうけど、今はローカル。。
一緒に読んだもの: AWS プロフェッショナルのための Google Cloud Platform: 管理 - Google Cloud
ネットワークのセキュア化
AWS の VPC エンドポイントはよく使われていましたが、GCP だとどうするんだろうと思っていましたが、「限定公開の Google アクセス」が一つの方法なのかと学べました。(なんとなく、名前がピンとこなくてスルーしてたんですよね。。)
いろいろ試してみたいと思います。
一緒に読んだもの: サービスのプライベート アクセス オプション - Google Cloud