iT邦幫忙

2024 iThome 鐵人賽

DAY 4
0

在 GCP 的 IAM 控管為 Principal + role,Principal 是你是誰(可能是 user or instance),role 是你可以做什麼(policies),你可以做的每件小事又稱為 Permission。舉例你可以是 Compute 操作 Role,但裡面可能包含 list permission or get permission。

再查資料的時候有時會被 Identity 跟 Principal 搞混。Identity 指的是身份,身份可能有用戶名、電子郵件地址等資訊,Principal 則是指實際可以被 assign 的實體。

在控管 Principal user 的狀況下,還可以再拆成 Group,目前可以實踐的方式有 Google workspace or Google Group

我們假想我們要控管 3 個團隊資源 DA, PM, Platform Dev,最好的方式就是用 Google Group 來做拆分。並給予特定 Group Permission Set。詳細參考此頁:https://support.google.com/a/answer/33329?hl=en

但因為公司”上層”對於 Group Email 的不偏好,所以很難申請。我沒辦法為了 DA 建立一個 Group 並給予特定的權限。於是我們討論出新解法,使用 Tag IAM Condition。Tag IAM Condition 是指上方我們提到了誰(principal)可以做什麼(Role),可以再加一層判斷什麼條件下可以做。條件包含

限時訪問;例如:僅允許在工作時間訪問

訪問部分資源;例如:僅向前綴為「webapp-frontend-」的虛擬機器授予存取權限

網路位址空間;例如:只允許從公司網路存取

ref: https://medium.com/@kellenjohn175/explanation-gcp-security-beyondcorp-%E5%AF%A6%E4%BD%9C-iam-condition-ca80540eebd7


上一篇
Day3 兩個 Cloud Run 內部溝通
下一篇
GCP 測試 internal load balancer & private access
系列文
從 AWS 轉生到 GCP 世界,還順便轉職成 DevOps 的 SRE30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言