Cloud Ace Tech Blog
🔐

Google Cloud の PAM に付与のスケジュール機能が追加されました!

クラウドエース株式会社
に公開
Security
Google Cloud
IAM
tech

はじめに

こんにちは、クラウドエース第一開発部の渋谷です。

4 月は非常に充実しており、約 1 週間のうちに 「HYDE」, 「日向坂46」, 「シド」と 3 本のライブに参戦してきました。やはりライブは最高ですね。

さて、今回は Google Cloud の PAM(Privileged Access Manager) に追加された「付与のスケジュール機能(Grant Scheduling)」についてご紹介します。

個人的に待望の機能になっておりますので、ぜひ最後までご覧ください。

TL;DR

  • PAM の付与のスケジュール機能により、権限付与の開始日時を事前に指定できるようになる
  • 申請・承認を作業日より前に済ませておけば、指定時刻に自動で権限が付与される
  • 深夜作業や休日作業など、承認者が不在になりやすい場面での事前承認による運用が可能になる

PAM(Privileged Access Manager)とは

PAM(Privileged Access Manager)は、Google Cloud において特権的なアクセス権限を一時的かつ制御された形で付与するためのサービスです。

通常、リソースが編集できるような強い権限を常時付与しておくことはセキュリティリスクになります。PAM を使うことで、必要なときだけ申請・承認フローを経て権限を付与し、一定時間が経過すると自動的に権限が失効する権限昇格の仕組みを実現できます。

PAM の基本的な概念や使い方については以下の記事で紹介していますので、あわせてご覧ください。

従来の PAM の課題

従来の PAM では、権限付与のリクエストを送信してから承認者が承認するまでの間、作業者は待機しなければなりませんでした。通常の業務時間内であれば問題になりにくいですが、夜間・休日のような承認者が不在となるケースでは即時承認が得られない課題がありました。

今回追加された付与のスケジュール機能により、上記課題を解決することができます。

PAM の付与のスケジュール機能(Grant Scheduling)とは

付与のスケジュール機能とは、権限付与の開始日時をあらかじめ指定しておくことができる機能です。申請・承認は事前に済ませておき、指定した日時になると自動的に権限が有効になります。

従来の PAM と付与のスケジュール機能を使った場合のフローを比較すると、以下のようになります。

従来の PAM フロー

付与のスケジュール機能を使った PAM フロー

付与のスケジュール機能を使うことで、承認者は事前に承認でき、作業者は指定時刻から作業を開始できます。

付与のスケジュール機能の使い方

ここからは、実際に PAM の付与のスケジュール機能を使ってみたいと思います。

今回は、以下のような利用資格(Entitlement)を事前に作成した状態で試していきます。

利用資格の作成

付与のスケジュールリクエストを送信する

PAM の「権限付与」タブを開き、「自分の資格」から対象の利用資格を選択して「権限付与をリクエスト」をクリックします。リクエスト画面の下部に「付与をスケジュール」ボタンが表示されているので、これをクリックします。

付与をスケジュールボタン

付与を開始したい日時を設定し、「権限付与をリクエスト」ボタンをクリックします。

日時選択(正常)

承認者が承認する

リクエストが送信されると、承認者に通知が届きます。承認者は「権限付与を承認」タブから申請内容を確認できます。詳細には「有効化の予定時刻」も表示されているため、いつ権限が付与されるかを把握した上で承認・拒否を判断できます。

承認者の承認画面

承認後の状態を確認する

承認が完了すると、権限付与一覧のステータスが「スケジュールされています」と表示されます。

スケジュール済みのステータス

権限付与の詳細を開くと、「有効化の予定時刻」が表示されます。

有効化の予定時刻

指定時刻になると自動で権限が付与される

指定した日時になると、ステータスが自動的に「Active」に変わり、権限が有効になります。

Activeになったステータス

IAM の画面を確認すると、PAM によって付与された権限は「Created by: PAM」という条件で表示されます。

IAMでの確認

(補足)付与のスケジュールをキャンセルする

スケジュールを取り消したい場合は、権限付与一覧の右側のメニューから「取り消す」を選択します。

取り消しメニュー

取り消しが完了すると、ステータスが「Withdrawn」に変わります。

Withdrawnのステータス

まとめ

本記事では、Google Cloud の PAM に新たに追加された付与のスケジュール機能(Grant Scheduling)についてご紹介しました。

従来の PAM では承認者が不在の場合に作業が滞るという課題がありましたが、付与のスケジュール機能によって事前に申請・承認を済ませておくことができるようになり、深夜メンテナンスや休日対応など承認が難しい場面でも計画的な権限管理が実現できます。

個人的に待望の機能でした。PAM を活用されている方はぜひ一度試してみてください!

Cloud Ace Tech Blog
Cloud Ace Tech Blog

クラウドエース株式会社のテックブログです。

Discussion