このページでは、認証情報アクセス境界を使用して、有効期間が短い認証情報で使用できる Identity and Access Management(IAM)権限の範囲を限定する方法について説明します。
認証情報アクセス境界を使用して、サービス アカウントを表しながら、サービス アカウントよりも権限が少ない OAuth 2.0 アクセス トークンを生成できます。たとえば、あるお客様が、管理している Cloud Storage データにアクセスする必要がある場合、次のようにします。
- 所有するすべての Cloud Storage バケットにアクセスできるサービス アカウントを作成します。
- 作成したサービス アカウントに OAuth 2.0 アクセス トークンを生成します。
- お客様のデータを含むバケットに対するアクセスのみを許可する認証情報アクセス境界を適用します。
認証情報アクセス境界の仕組み
権限の範囲を限定するには、各リソースで使用できる権限の上限と、有効期間が短い認証情報でアクセスできるリソースを指定する認証情報アクセス境界を定義します。その後、有効期間が短い認証情報を作成し、認証情報アクセス境界を遵守する新しい認証情報に交換できます。
プリンシパルにセッションごとに異なる権限セットを割り当てる必要がある場合は、サービス アカウントを多数作成して各サービス アカウントに異なるロールセットを付与するよりも、認証情報アクセス境界を使用する方が効率的な場合があります。
認証情報アクセス境界の例
以降のセクションでは、一般的なユースケースの認証情報アクセス境界の例を示します。OAuth 2.0 アクセス トークンをスコープが限定されたトークンと交換する場合は、認証情報アクセス境界を使用します。
バケットの権限を制限する
次の例は、シンプルな認証情報アクセス境界を示しています。これは Cloud Storage バケット example-bucket
に適用され、ストレージ オブジェクト閲覧者ロール(roles/storage.objectViewer
)に含まれる権限の上限を設定します。
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
}
]
}
}
複数のバケットの権限を制限する
次の例は、複数のバケットのルールを含む認証情報アクセス境界を示しています。
- Cloud Storage バケット
example-bucket-1
: このバケットの場合、ストレージ オブジェクト閲覧者のロール(roles/storage.objectViewer
)の権限のみが使用できます。 - Cloud Storage バケット
example-bucket-2
: このバケットの場合、ストレージ オブジェクト作成者のロール(roles/storage.objectCreator
)の権限のみが使用できます。
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
},
{
"availablePermissions": [
"inRole:roles/storage.objectCreator"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
}
]
}
}
特定のオブジェクトの権限を制限する
IAM Conditions を使用して、プリンシパルがアクセスできる Cloud Storage オブジェクトを指定することもできます。たとえば、名前が customer-a
で始まるオブジェクトにアクセスできるようにする条件を追加できます。
{ "accessBoundary": { "accessBoundaryRules": [ { "availablePermissions": [ "inRole:roles/storage.objectViewer" ], "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket", "availabilityCondition": { "expression" : "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a')" } } ] } }
オブジェクトを一覧表示するときに権限を制限する
Cloud Storage バケット内のオブジェクトを一覧表示すると、オブジェクト リソースではなく、バケット リソースでメソッドが呼び出されます。そのため、条件が一覧表示のリクエストに関して評価され、その条件がリソース名を参照する場合、リソース名はバケット内のオブジェクトではなく、バケットを表します。たとえば、example-bucket
のオブジェクトを一覧表示する場合、リソース名は projects/_/buckets/example-bucket
になります。
この命名規則により、オブジェクトを一覧表示するときに予期しない動作が発生することがあります。たとえば、接頭辞 customer-a/invoices/
を持つ example-bucket
のオブジェクトに対する表示権限を許可する認証情報アクセス境界があるとします。この認証情報アクセス境界で、次の条件を試した場合を考えます。
不完全な条件: リソース名のみを確認する条件
resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')
この条件はオブジェクトを読み取りには使用できますが、オブジェクトの一覧表示には使用できません。
- プリンシパルが接頭辞
customer-a/invoices/
を持つexample-bucket
のオブジェクトを読み取ろうとすると、条件はtrue
と評価されます。 - プリンシパルがその接頭辞を持つオブジェクトを一覧表示しようとすると、条件は
false
と評価されます。resource.name
の値はprojects/_/buckets/example-bucket
となり、projects/_/buckets/example-bucket/objects/customer-a/invoices/
で始まりません。
この問題を回避するには、条件が storage.googleapis.com/objectListPrefix
という名前の API 属性を確認できるよう resource.name.startsWith()
を使用します。この属性には、オブジェクトのリストをフィルタするために使用された prefix
パラメータの値が含まれています。これにより、prefix
パラメータの値を参照する条件を記述できます。
次の例は、条件で API 属性を使用する方法を示しています。これにより、接頭辞 customer-a/invoices/
を持つ example-bucket
のオブジェクトの読み取りと一覧表示ができます。
完全な条件: リソース名と、接頭辞を確認する条件
resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '') .startsWith('customer-a/invoices/')
この条件は認証情報アクセス境界で使用できます。
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
"availabilityCondition": {
"expression":
"resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '').startsWith('customer-a/invoices/')"
}
}
]
}
}
始める前に
認証情報アクセス境界を使用する前に、次の要件を満たしていることを確認してください。
Cloud Storage の権限のみ範囲を限定する必要があります。他の Google Cloud サービスには必要ありません。
追加の Google Cloud サービスの権限の範囲を限定する必要がある場合は、複数のサービス アカウントを作成し、各サービス アカウントに異なるロールを付与できます。
認証には OAuth 2.0 アクセス トークンを使用できます。他のタイプの有効期間が短い認証情報は、認証情報アクセス境界をサポートしません。
また、必要な API を有効にする必要があります。
-
Enable the IAM and Security Token Service APIs.
範囲が限定された有効期間が短い認証情報を作成する
範囲が限定された OAuth 2.0 アクセス トークンを作成する方法は次のとおりです。
- ユーザーまたはサービス アカウントに、適切な IAM ロールを付与します。
- ユーザーまたはサービス アカウントが使用できる権限の上限を設定する、認証情報アクセス境界を定義します。
- ユーザーまたはサービス アカウントの OAuth 2.0 アクセス トークンを作成します。
- 認証情報アクセス境界を遵守する新しい認証トークンと OAuth 2.0 アクセス トークンを交換します。
範囲が限定された新しい OAuth 2.0 アクセス トークンを使用して、Cloud Storage へのリクエストを認証できます。
IAM ロールの付与
認証情報アクセス境界は、リソースで使用可能な権限の上限を設定します。プリンシパルから権限を削除することはできますが、プリンシパルに付与されていない権限は追加できません。
そのため、必要な権限を付与するプリンシパルにも Cloud Storage バケットまたはプロジェクトなどより高いレベルのリソースでロールを付与する必要があります。
たとえば、サービス アカウントがバケット内にオブジェクトを作成することを許可する、範囲が限定された有効期間が短い認証情報を作成するとします。
- サービス アカウントには、少なくともストレージのオブジェクト作成者ロール(
roles/storage.objectCreator
)などのstorage.objects.create
権限を付与する必要があります。認証情報アクセス境界には、この権限も含める必要があります。 - また、ストレージ オブジェクト管理者ロール(
roles/storage.objectAdmin
)など、より多くの権限を含むロールを付与することもできます。サービス アカウントで使用できるのは、ロール付与と認証情報アクセス境界の両方に表示される権限のみです。
Cloud Storage の事前定義ロールについては、Cloud Storage のロールをご覧ください。
認証情報アクセス境界のコンポーネント
認証情報アクセス境界は、アクセス境界ルールのリストを含むオブジェクトです。各ルールには次の情報が含まれます。
- ルールが適用されるリソース
- そのリソースで使用できる権限の上限
- 省略可: 権限をさらに制限する条件。条件には次のものが含まれます。
true
またはfalse
で評価される条件式。true
と評価された場合にアクセスが許可され、そうでない場合はアクセスが拒否されます。- 省略可: 条件を識別するためのタイトル。
- 省略可: 条件についての詳しい説明。
認証情報アクセス境界を有効期間の短い認証情報に適用すると、認証情報は認証情報アクセス境界内のリソースにのみアクセスできます。他のリソースでは権限は使用できません。
認証情報アクセス境界には、最大 10 個のアクセス境界ルールを含めることができます。有効期間の短い認証情報ごとに適用できる認証情報アクセス境界は 1 つのみです。
JSON オブジェクトとして表現される場合、認証情報アクセス境界には次のフィールドが含まれます。
フィールド | |
---|---|
accessBoundary |
認証情報アクセス境界のラッパー。 |
accessBoundary.accessBoundaryRules[] |
有効期間の短い認証情報に適用されるアクセス境界ルールのリスト。 |
accessBoundary.accessBoundaryRules[].availablePermissions[] |
リソースに対して使用可能な権限の上限を定義するリスト。
接頭辞 |
accessBoundary.accessBoundaryRules[].availableResource |
ルールが適用される Cloud Storage バケットの完全なリソース名。形式 |
accessBoundary.accessBoundaryRules[].availabilityCondition |
省略可。特定の Cloud Storage オブジェクトに対する権限の利用を制限する条件。 このフィールドは、Cloud Storage バケット内のすべてのオブジェクトではなく特定のオブジェクトに対して権限を使用可能にする場合に使用します。 |
accessBoundary.accessBoundaryRules[].availabilityCondition.expression |
権限を使用できる Cloud Storage オブジェクトを指定する条件式。 条件式で特定のオブジェクトを参照する方法については、 |
accessBoundary.accessBoundaryRules[].availabilityCondition.title |
省略可。条件の目的を示す短い文字列。 |
accessBoundary.accessBoundaryRules[].availabilityCondition.description |
省略可。条件の目的に関する詳細。 |
JSON 形式の例については、このページの認証情報アクセス境界の例をご覧ください。
OAuth 2.0 アクセス トークンを作成する
範囲が限定された有効期間の短い認証情報を作成する前に、通常の OAuth 2.0 アクセス トークンを作成する必要があります。その後、通常の認証情報を範囲が限定された認証情報と交換できます。アクセス トークンを作成する際は、OAuth 2.0 スコープ https://www.googleapis.com/auth/cloud-platform
を使用します。
サービス アカウントのアクセス トークンを作成するには、サーバー間の OAuth 2.0 フローを完了するか、サービス アカウント認証情報 API を使用して OAuth 2.0 アクセス トークンを生成します。
ユーザーのアクセス トークンを作成する方法については、OAuth 2.0 アクセス トークンの取得をご覧ください。OAuth 2.0 Playground を使用して、ご自分の Google アカウントのアクセス トークンを作成することもできます。
OAuth 2.0 アクセス トークンの交換
作成した OAuth 2.0 アクセス トークンは、認証情報アクセス境界を遵守する範囲が限定された認証トークンと交換できます。このプロセスには通常、トークン ブローカーとトークン コンシューマが含まれます。
トークン ブローカーは、認証情報アクセス境界を定義し、アクセス トークンをスコープが限定されたトークンと交換します。
トークン ブローカーは、サポートされている認証ライブラリを使用してアクセス トークンを自動的に交換できます。また、セキュリティ トークン サービスを呼び出して、トークンを手動で交換することもできます。
トークン コンシューマは、トークン ブローカーに範囲が限定されたアクセス トークンをリクエストし、範囲が限定されたアクセス トークンを使用して別のアクションを実行します。
トークン コンシューマは、サポートされている認証ライブラリを使用して、期限切れになる前にアクセス トークンを自動的に更新できます。あるいは、トークンを手動で更新することも、トークンを更新せずに期限切れにすることもできます。
アクセス トークンを自動的に交換して更新する
次のいずれかの言語でトークン ブローカーとトークン コンシューマーを作成する場合は、Google の認証ライブラリを使用して自動的にトークンを交換および更新できます。
Go
Go の場合、バージョン v0.0.0-20210819190943-2bc19b11175f 以降の golang.org/x/oauth2
パッケージを使用してトークンを自動的に交換して更新できます。
使用しているパッケージのバージョンを確認するには、アプリケーション ディレクトリで次のコマンドを実行します。
go list -m golang.org/x/oauth2
次の例は、トークン ブローカーがスコープが限定されたトークンを生成する方法を示しています。
トークン コンシューマが更新ハンドラを使用して、スコープが限定されたトークンを自動的に取得して更新する方法を次に示します。
Java
Java の場合、バージョン 1.1.0 以降の com.google.auth:google-auth-library-oauth2-http
アーティファクトを使用してトークンを自動的に交換して更新できます。
使用しているこのアーティファクトのバージョンを確認するには、アプリケーション ディレクトリで次の Maven コマンドを実行します。
mvn dependency:list -DincludeArtifactIds=google-auth-library-oauth2-http
次の例は、トークン ブローカーがスコープが限定されたトークンを生成する方法を示しています。
トークン コンシューマが更新ハンドラを使用して、スコープが限定されたトークンを自動的に取得して更新する方法を次に示します。
Node.js
Node.js の場合、バージョン 7.9.0 以降の google-auth-library
パッケージを使用してトークンを自動的に交換して更新できます。
使用しているパッケージのバージョンを確認するには、アプリケーション ディレクトリで次のコマンドを実行します。
npm list google-auth-library
次の例は、トークン ブローカーがスコープが限定されたトークンを生成する方法を示しています。
次の例は、トークン スコープが、スコープが限定されたトークンを自動的に取得して更新する更新ハンドラを提供する方法を示しています。
Python
Python の場合、バージョン 2.0.0 以降の google-auth
パッケージを使用してトークンを自動的に交換して更新できます。
使用しているパッケージのバージョンを確認するには、パッケージがインストールされている環境で次のコマンドを実行します。
pip show google-auth
次の例は、トークン ブローカーがスコープが限定されたトークンを生成する方法を示しています。
次の例は、トークン スコープが、スコープが限定されたトークンを自動的に取得して更新する更新ハンドラを提供する方法を示しています。
アクセス トークンを手動で交換して更新する
トークン ブローカーは、Security Token Service API を使用して、アクセス トークンをスコープが限定されたアクセス トークンと交換できます。その後、スコープが限定されたトークンをトークン コンシューマに提供できます。
アクセス トークンを交換するには、次の HTTP メソッドと URL を使用します。
POST https://sts.googleapis.com/v1/token
リクエストの Content-Type
ヘッダーを application/x-www-form-urlencoded
に設定します。リクエスト本文に次のフィールドを含めます。
フィールド | |
---|---|
grant_type |
値 |
options |
パーセント エンコードでエンコードされた JSON 形式の認証情報アクセス境界。 |
requested_token_type |
値 |
subject_token |
交換する OAuth 2.0 アクセス トークン。 |
subject_token_type |
値 |
レスポンスは、次のフィールドを含む JSON オブジェクトです。
フィールド | |
---|---|
access_token |
認証情報アクセス境界を遵守する範囲が限定された OAuth 2.0 アクセス トークン。 |
expires_in |
範囲が限定されたトークンが期限切れになるまでの秒数。 このフィールドは、元のアクセス トークンがサービス アカウントを表す場合にのみ存在します。このフィールドが存在しない場合、範囲が限定されたトークンの有効期限は元のアクセス トークンと同じになります。 |
issued_token_type |
|
token_type |
|
たとえば、JSON 形式の認証情報アクセス境界が ./access-boundary.json
ファイルに保存されている場合、次の curl
コマンドを使用してアクセス トークンを交換できます。original-token
は元のアクセス トークンに置き換えます。
curl -H "Content-Type:application/x-www-form-urlencoded" \ -X POST \ https://sts.googleapis.com/v1/token \ -d "grant_type=urn:ietf:params:oauth:grant-type:token-exchange&subject_token_type=urn:ietf:params:oauth:token-type:access_token&requested_token_type=urn:ietf:params:oauth:token-type:access_token&subject_token=original-token" \ --data-urlencode "options=$(cat ./access-boundary.json)"
レスポンスは次の例のようになります。
{
"access_token": "ya29.dr.AbCDeFg-123456...",
"issued_token_type": "urn:ietf:params:oauth:token-type:access_token",
"token_type": "Bearer",
"expires_in": 3600
}
トークン コンシューマがスコープが限定されたトークンをリクエストすると、トークン ブローカーは、スコープが限定されたトークンおよび有効期限が切れるまでの秒数の両方を応答する必要があります。スコープが限定されたトークンを更新するには、既存のトークンが期限切れになる前に、コンシューマーはスコープが限定されたトークンをブローカーにリクエストします。
次のステップ
- Cloud Storage のアクセス制御について学ぶ。
- 有効期間が短いサービス アカウント認証情報を作成する。
- サーバー間の OAuth 2.0 フローまたはサービス アカウント認証情報 API を使用して、サービス アカウントの OAuth 2.0 アクセス トークンを作成する。
- ユーザー用の OAuth 2.0 アクセス トークンを作成する。
- 各事前定義ロールの権限を確認する。
- カスタムロールについて学ぶ。