Cloud IAM 是 Google Cloud Platform 提供的身份和存取管理服務。它允許您控制誰可以訪問您的 GCP 資源，以及他們可以執行哪些操作。

Authentication

身份驗證是確定使用者身份的過程。Cloud IAM 使用多種方法來驗證使用者，包括：

• 密碼： 使用者提供的帳戶名稱和密碼。
• OAuth 2.0： 使用者提供來自受信任的應用程式的授權碼。
• Google 帳戶： 使用者提供其 Google 帳戶的電子郵件地址和密碼。

Authorization

授權是確定使用者是否有權訪問特定資源的過程。Cloud IAM 使用角色來控制使用者的授權。角色是一系列權限的集合，允許使用者執行特定操作。

Identity

Cloud IAM 可以識別以下類型的身份：

• GCP 使用者： 擁有 GCP 帳戶的使用者。
• GCP 使用者群組： 包含 GCP 使用者的集合。
• 運行在 GCP 的應用程式： 使用 OAuth 2.0 或 Google 帳戶進行身份驗證的應用程式。
• 運行在 Data Center 的應用程式： 使用 OpenID Connect 進行身份驗證的應用程式。
• 未經身份驗證的使用者： 無法提供有效身份驗證的使用者。

Cloud IAM 的控制

Cloud IAM 提供了非常細膩的控制。您可以限制使用者執行特定操作，在特定的雲端資源上執行操作，從特定的 IP 地址執行操作，或在特定的時間窗口內執行操作。

Roles

Roles 是 Cloud IAM 中用於控制使用者授權的概念。角色由權限組成，權限是允許使用者執行特定操作的許可。

Cloud IAM 有三種類型的角色：

• Basic Roles： 這些角色是 GCP 中預先定義的角色，Owner / Editor / Viewer。
• Predefined Roles： 這些角色由 Google 定義，並根據特定用途提供更細膩的控制。
• Custom Roles： 這些角色由使用者創建，以滿足特定需求。

Cloud IAM 是一種強大的工具，可用於保護您的 GCP 資源免受未經授權的存取。它提供了非常細粒度的控制，可讓您根據您的具體需求定制您的安全性策略。
後續我會再更詳細的介紹 Cloud IAM。