2024年版【GCP資格の勉強 PDE編】IAMの概要と特徴とは?について解説します。
(★注意:GCP資格 Professional Data Engineer(PDE)試験の公式テキスト・問題集などを元に独自にまとめたものです)
Google Cloud Platform(GCP)のProfessional Data Engineer(PDE)試験において、IAM(Identity and Access Management)はとても重要な部分です。
IAMは「誰が(Who)、どのリソースに対して(What Resource)、何ができる(What Action)」という権限管理を行うサービスです。IAMを使って、GCP上のリソースへのアクセス権を細かく制御できます。
IAM:誰が(Who)
- ユーザーアカウント:個々のユーザー
- サービスアカウント:アプリケーションや仮想マシン(VM)などが使用
- グループ:複数のユーザーをまとめたもの
- ドメイン:特定の企業や組織のドメインに属する全ユーザー
IAM:どのリソースに対して(What Resource)
- GCP上のさまざまなリソースに対して権限を設定できます。例えば、Compute Engineのインスタンス、Cloud Storageのバケット、BigQueryのデータセットなどがあります。
IAM:何ができる(What Action)
- 具体的なアクション(操作)には、リソースに対する読み取り、書き込み、変更などが含まれます。例えば、`compute.instances.list`はCompute Engineのインスタンスに対する「リスト操作(閲覧)」ができることを意味します。
IAM:利用方法
- ロール:特定のリソースに対する一連のアクションの集合。例えば、読み取り専用ロール、編集ロールなど。
- ポリシー:ロールをユーザー、グループ、ドメイン、サービスアカウントに割り当てることで、実際のアクセス権を設定します。
【練習問題】IAMの概要と特徴
練習問題 1
IAMのポリシーで設定できる要素とは何ですか?
- 1. ネットワークの設定
- 2. データ処理ジョブのスケジューリング
- 3. ユーザーやサービスアカウントに対するロールの割り当て
- 4. 物理的なサーバーの配置
解答: 3. ユーザーやサービスアカウントに対するロールの割り当て
解説: IAMのポリシーは、ユーザーやサービスアカウントに対して特定のロール(一連のアクションの集合)を割り当てることができます。ロールの割り当てにより、リソースへのアクセス権を細かく制御できます。ネットワーク設定やデータ処理ジョブのスケジューリング、物理的なサーバーの配置はIAMの範囲外です。
練習問題 2
IAMで定義される「ロール」とは何ですか?
- 1. ユーザーの職位
- 2. 特定のリソースに対する一連のアクションの集合
- 3. サーバーの物理的な位置
- 4. ネットワークのトポロジー
解答: 2. 特定のリソースに対する一連のアクションの集合
解説: IAMの「ロール」は、特定のリソースに対して許可される一連のアクション(操作)の集合を意味します。IAMのロールには、例えば、リソースの読み取り、書き込み、変更などが含まれます。ロールをユーザーやサービスアカウントに割り当てることで、リソースへのアクセス権が決定されます。
練習問題 3
IAMにおいて「サービスアカウント」とは何を指しますか?
- 1. 物理的なサーバー
- 2. ユーザーの個人アカウント
- 3. アプリケーションや仮想マシン(VM)が使用するアカウント
- 4. グループアカウント
解答: 3. アプリケーションや仮想マシン(VM)が使用するアカウント
解説: IAMにおける「サービスアカウント」は、アプリケーションや仮想マシン(VM)などの非人間的エンティティがGCPリソースへアクセスするために使用するアカウントです。サービスアカウントにより、アプリケーションがGCPリソースを操作する際の認証と認可が行われます。物理的なサーバーやユーザーの個人アカウント、グループアカウントはサービスアカウントとは異なります。
PDE試験対策
IAMの設定はとても強力であり、誤った設定はセキュリティリスクにつながる可能性があるため、注意深く管理する必要があります。
PDE試験では、IAMの概念に加えて、IAMのベストプラクティスやセキュリティに関する知識も問われることがあります。
▼IT人材は2030年に国内で79万人, 全世界で「8,500万人」以上不足!
▼世界の平均年収はなんと「1,000万円」以上!
▼自宅 + パソコン + 無料翻訳ツールで「全世界が仕事場!」
AIエンジニア
