Policy

Policy 是一種文件，用於指定誰可以對 Google Cloud 資源執行哪些操作。Policy 由以下組件組成：

• Roles：Roles 指定用戶或服務帳戶可以執行的操作。
• Members：Members 指定可以獲得 Role 的 users 或 service accounts。
• Resources：Resources 指定可以執行操作的 Google Cloud 資源。

其中 Member 的類別會使用 prefix 來識別，例如：user, serviceaccount, group, domain

Policy 可以用以下方式來表示：

• YAML 文件：YAML 文件是一種簡單的格式，用於表示 Policy。
• JSON 文件：JSON 文件是一種常用的格式，用於表示 Policy。
• Cloud Console：Cloud Console 提供了一個視覺化界面，用於管理 Policy。

Example

{
	"bindins": [
		{
			"role": "role/storage.admin",
			"members": [
				"user:calvin@gmail.com",
				"serviceAccount:calvinsApp@appspot.gserviceaccount.com",
				"group:calvinsgroup@gmail.com",
				"domain:google.com"
			]
		}
	]
}

gcloud with IAM

# Describe 目前的 project
gcloud compute project-info describe

# 登入 GCP
gcloud auth login

# 撤銷某個帳號的授權
gcloud auth revoke

# 列出目前 active account
gcloud auth list

# 增加 IAM policy binding
gcloud projects add-iam-policy-binding

# 獲得目前 project 的 IAM policy 資訊
gcloud projects get-iam-policy

# 移除
gcloud projects remove-iam-policy-binding

# 設定 IAM policy
gcloud projects set-iam-policy

# 刪除 project
gcloud projects delete

# describe 某個 IAM role
gcloud iam roles describe

# 新增 role (--project, --permissions, --stage)
gcloud iam role create

# 複製 IAM roles
gcloud iam roles copy

Service Accounts

Service Accounts 是一種用於代表應用程式或服務的帳戶。Service Accounts 沒有密碼，而是使用 RSA 密鑰對進行身份驗證。

主要是用來授權應用程式或服務訪問 Google Cloud 資源。

Service Accounts 的類型

• Default service accounts：Default service accounts 是當某些服務被使用時自動建立的，不建議使用，因為預設有 Editor role。
• User managed service accounts：User managed service accounts 是用戶手動建立和管理的，推薦使用來管理應用程式的權限。
• Google-managed service accounts：Google-managed service accounts 由 Google 建立和管理，GCP 用來完成使用者的行為。

Policy 和 Service Accounts 是 Google Cloud 中重要的安全功能。您可以使用它們來授權用戶和服務訪問 Google Cloud 資源，並保護您的資源免受未經授權的訪問。