什麼是 IAM？

• IAM 的全名是 Identity and Access Management，目的就是去管理 誰 能夠存取 Google Cloud 中的 resource

  • 也就是 manage who can do what on which resources
  • 所以 IAM 想要管的人是 "那些會打開 Google Cloud Console 的人"，所以通常都是工程團隊的人，不過其實還會再加上一個財務團隊 (後續說明)

• IAM 中是以 role-based 的方式來管理權限，並且 Google 推薦以 team 來綁 role

  • 譬如說可以先創建一個 Google group，然後把這個 team 的人都加進去
    • 這裡會用到 Google Cloud 的另一個服務 Google Cloud Identity，來管理我們公司有幾個 Google group、裡面分別有多少人之類的，到這邊都還沒有使用到 IAM 的任何技術
  • 創建好之後，就可以為這個 group 去綁 IAM 的 role 了
  • 萬一有人要離職，只要把那個人移出 group 就好，這樣就不需要一直加 role 或是移除 role 了
  • 不過 IAM role 也是支援綁人的，如果真的有特殊需求也是可以使用

IAM 中的三種定義 role 的方式

Basie IAM role

提供 IAM 最最最基本的 role，有四種，分別是 Owner、Editor、Viewer、Billing administrator

其實這些 role 都滿直覺的，Owner 就是 team lead、Editor 就是一般工程師、Viewer 暫時想不到、Billing admin 就是財務團隊

Basic role 只能以 project 為單位去套用，沒辦法細分到每個 Cloud service，所以 basic role 算是一個比較大方向的設定

Predefined IAM role

• 這個是 Google 根據常見的使用情形，預先為我們創建好的 role
  • 像是大家在使用 Compute Engine 創建 VM 時，通常就是會想區分成 restart-only 或是 admin 這兩個 role (restart-only 給工程師，admin 給 SRE)
  • 所以既然大家的需求都差不多，所以 Google 就會先列好一批 role 讓我們可以直接用，而這批 role 就是被分類在 predefiend role 裡面
• Predefined role 可以細分到 Cloud service，而且每個 Cloud Service 都有好幾十個 role 可以選，基本上常見的用法都有被 cover 到
  • 所以假設有一個人他有一個 viewer 的 basic role、但是他又有 App Engine Admin role，那就表示這個人可以查看這個 project 底下的所有服務和設定，並且可以自由的創建/刪除 App Engine instance

Custom IAM role

• 可以自由新增 role，自己定義這個 role 裡面有什麼權限
• 不過其實一般來說上面的 Predefined role 就用不完了，Google 真的訂到很細幾乎把所有常見的都定義完了，所以只有那種超超超級 edge case 的情況要使用 custom role，一般來說還是優先找 predefined role 來用