Organization 関連の Role 割り当て

問題

お客様が、会社のアプリケーションを Google Cloud に移行しようとしています。セキュリティ チームは、組織内のすべてのリソースを詳細に把握する必要があります。あなたは Resource Manager を使って自分を組織管理者に設定しています。セキュリティ チームには、どのような Cloud Identity and Access Management（Cloud IAM）のロールを付与する必要がありますか？

回答

組織閲覧者、プロジェクト閲覧者

解説

権限は最小限とするのがベストプラクティス。

Organization 関連のロール

roles/resourcemanager.organizationAdmin

組織管理者。組織に関する諸々の設定変更を行うことができる。

roles/resourcemanager.organizationViewer

組織閲覧者。 roles/browser と異なる点として、Organization Policy の閲覧ができる点がある。

roles/orgpolicy.policyAdmin

組織のポリシー管理者。組織のポリシー (組織全体にかける制限など) の管理が行える。

roles/browser

組織に関する設定の閲覧ができる。組織のポリシーについての閲覧はできない。

Access control for organizations with IAM | Resource Manager Documentation | Google Cloud

IAM

who (user) has what access (roles) to which resources という構成になっており、これのそれぞれを IAM Policy と呼称する。

User に permission を直接割り当てるのではなく、まず Roles を作成しそれに Permission を割り当て、 Roles を User に割り当てることで、間接的に User に Permission を割り当てる。

コンテナ関連のセキュリティ

問題

あなたの会社は、コンテナ イメージ内のパッケージの CVE 情報を収集、分析し、セキュリティ上の既知の問題があるイメージは、Google Kubernetes Engine 環境で実行されないようにしたいと考えています。コンテナビルド パイプラインに、どのようなセキュリティ機能を導入すればよいですか？2 つ選択してください。

回答

デプロイ ポリシー、脆弱性スキャン

解説

脆弱性スキャンは Container Analysis という機能であり、 Container Registory, Artifact Registory に登録されているイメージの脆弱性スキャンが行える。

Container Analysis documentation | Google Cloud

デプロイポリシーは、 Binary Authorization という機能で実現される。

Binary Authorization

「サプライチェーンの Security を保持する」ことが目的のサービスと説明されている。

サプライチェーンとは Container Registory 等のイメージのレジストリ、およびデプロイに使われる CI、さらにデプロイ先の Kubernetes, SaaS 等のアプリケーションまで含む、コンテナのサプライチェーンのことを指すと理解した。

例えばコンテナのデプロイにおいては、デプロイされるコンテナについての policy を定義し、デプロイされようとするコンテナがその policy を満たすかをチェックする。

policy は一つまたは複数の rules を含むため、それらに合致されているかが確認される。

Binary Authorization overview | Google Cloud

Exempt Images

Binary Authorization における policy のチェックから除外するイメージを指定する。

Exempt という単語は何らかの義務や支払いを免れるという意味であり、ここでは policy のチェックを免れるという意味である。