iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 4
2
自我挑戰組

谷哥 Google Cloud Platform 勇者的試煉系列 第 4

GCP 存取控制議題

左列功能表我們來到權限控制管理先來一窺究竟
我們先選到延續先前所建立的專案進入後,你現在看到此帳戶就是我一開始申請建立的,此權限是對整個專案繼承其擁有者Owner權限
https://ithelp.ithome.com.tw/upload/images/20181004/200254813CogYl67Uu.png

你可以從編輯來看其實是可以自行調整修改每個帳號所屬的權限的
https://ithelp.ithome.com.tw/upload/images/20181004/20025481AmreqKIp6c.png

我們先來示範幾個錯誤,帳戶必須是要有註冊到Google的,一開始就會檢查
https://ithelp.ithome.com.tw/upload/images/20181004/20025481z7qv026Asm.png

這錯誤是為何?因為整個專案至少要有一位擁有者權限才會允許你變更(合理,不然權限都鎖了要用到不就慘了)
https://ithelp.ithome.com.tw/upload/images/20181004/20025481rdy7c7VMhj.png

自訂想要的細部權限角色中可以看到裡面細部的動作有列出能支援與不支援的
https://ithelp.ithome.com.tw/upload/images/20181004/20025481k2NQ2SvMAg.png

依照需求自訂自己所要的成一個符合自身環境所需的Role不被預設值綁住
https://ithelp.ithome.com.tw/upload/images/20181004/20025481cVfiKhqrZs.png

檢視剛剛自訂的角色已經出爐嘍!(真的比其他雲來的親民,客製的類型真不是蓋的)
角色太多可以用搜尋的
https://ithelp.ithome.com.tw/upload/images/20181004/20025481ZYX3mlP8iH.png

有了!就是剛剛設定的名稱
https://ithelp.ithome.com.tw/upload/images/20181004/2002548172iFL5vSoo.png

看一下屬性,沒錯
https://ithelp.ithome.com.tw/upload/images/20181004/20025481JOEnLuvOjy.png

我們實際把剛剛的角色權限嘗試指派給新帳號
https://ithelp.ithome.com.tw/upload/images/20181004/20025481nvgObdfqyy.png

設定成功後確認已經有在清單內
https://ithelp.ithome.com.tw/upload/images/20181004/20025481TZ5DbUsVym.png

如果想要變更此帳號權限也不一定要更動既有的,直接新增即可
https://ithelp.ithome.com.tw/upload/images/20181004/20025481cfbmNDuGKb.png

新增完成後儲存
https://ithelp.ithome.com.tw/upload/images/20181004/20025481U5xRAN2vxv.png

你就可以看到每一個帳戶所有被指派賦予的權限為何
https://ithelp.ithome.com.tw/upload/images/20181004/20025481xGyfcml00Q.png

在雲端服務的世界中我們只是這雲端提供商中裡面一個租用戶罷了,而廣大的Google雲端世界要同時服務數以萬計的用戶每組帳戶對於資源其實都有其上限的,而如果不夠則是需要提出申請增加配額的(試用版都沒付錢了,還是乖乖地真的需要更多的資源代表你需要他,升級成付費就可以有此權利嘍!)
https://ithelp.ithome.com.tw/upload/images/20181004/20025481gYgDMojLIQ.png

如果我們要新增服務帳戶給特定需要使用的服務才賦與的權限可以使用
自訂名稱以及編號可以自訂
https://ithelp.ithome.com.tw/upload/images/20181004/20025481qr7epyHruI.png

因為我是設定GCE(VM)用途,所以設置GCE管理最大權限
https://ithelp.ithome.com.tw/upload/images/20181004/20025481zZbHGbjzKh.png

最後指定給後續要建立GCE的用戶並可以決定是否需要加密金鑰
https://ithelp.ithome.com.tw/upload/images/20181004/20025481YtaSp6xP2s.png

你也可以編輯建立加密金鑰
https://ithelp.ithome.com.tw/upload/images/20181004/20025481I5rqwYnCxb.png

確定用建議的JSON格式建立金鑰
https://ithelp.ithome.com.tw/upload/images/20181004/20025481WfSFN2LhzV.png

檢視剛剛完成加密後的帳戶狀態
https://ithelp.ithome.com.tw/upload/images/20181004/200254810Xcpi5OZMs.png

我用VS Code工具打開檢視剛剛的Key就看到了裡面的私鑰(跟自訂CA所產生的碼蠻像的)
https://ithelp.ithome.com.tw/upload/images/20181004/200254817J6lJB7Oaz.png

在安全隱私權利把同意權交給了自己,首先是資料處理安全
https://ithelp.ithome.com.tw/upload/images/20181004/20025481mOSEC1QJSW.png

同意了資料安全處理隱私
https://ithelp.ithome.com.tw/upload/images/20181004/20025481ryj5ZWRZfg.png

接下來如果要同意歐盟合作模型繼續同意
https://ithelp.ithome.com.tw/upload/images/20181004/20025481IJbUFgdCEG.png

最後兩項有要適用於遵照GDPR規範的客戶時才需填註
https://ithelp.ithome.com.tw/upload/images/20181004/20025481s2OFDspf24.png

稽核動作行為需要設定一下幫助後續歷史追蹤所需
https://ithelp.ithome.com.tw/upload/images/20181004/20025481jeYULzPbGH.png

如果不想被稽核的帳戶可以透過此設置允許豁免,但無論豁免狀態為何,系統還是會產生管理員活動記錄
https://ithelp.ithome.com.tw/upload/images/20181004/20025481Gpuw73XB1f.png

豁免權人員清單列表
https://ithelp.ithome.com.tw/upload/images/20181004/20025481Q7viBKnaBK.png

後續我們再來交叉驗證剛剛設置的權限是否得到應證,目前因為尚未有任何資源,後面再給他看下去


上一篇
GCP 帳務 & 市集 & 技術支援概觀
下一篇
GCP 第一支箭指 GCE
系列文
谷哥 Google Cloud Platform 勇者的試煉30

尚未有邦友留言

立即登入留言