Gloud IAM 是什麽？

IAM 简介

经过昨天已经设定好了的GCP SDK後，可以开始进入云端世界上的正题溜，首先开始使用GCP时，在一个专案的新建後敏锐的大家一定会想到了，是谁可以连线然後谁不可以连线，是谁可以有权限谁不可以有权限，我们先统称为资安的议题，这里面其中包含了两大类：

1. 专案权限
2. 网路(防火墙)权限

今天要探讨的是第一个部分 权限 的设定在GCP中管理权限的服务就是 IAM (Identity and Access Management的简称) 想必使用过其他云端平台服务AWS Azure...等应该是不陌生这名词。

如果以白话一点的方式可以说是

< 什麽 人 可以对什麽 资源目标 执行什麽 操作 >

没错～就是限制可以分成三个层面缺一不可 至於上面提到的 人 这边是比较通用的表示，但是实际上在GCP上可以，以Group与Service Account来绑定使用者这部分後面会在深入一点的解释，今天是比较聚焦探讨什麽是IAM以及他可以做什麽。

尤如上述所说其中三部分的第一个部分後续会在做详述，这边先进入第二第三部分 资源目标 以及 操作 ：

1. 角色(role)
2. 角色细项 指派权限(Role ID List)

• 在角色部分GCP会有自己定义出来的角色群组可以用来理解该资源所需大方向的同捆包，此角色内部就会有对应所需要的Role ID List这两个东西就决定了你是否可以操作此服务的权限，而且这些细项非常的细，例如说基本的read write可分get list或是create update以我的经验来说可以说是满复杂的，需要了解透撤才会比较方便设置权限对於使用者。

• 当然如果有需要客制化GCP也提供了组合角色，建立客制化角色的功能这部分个人认为很不错，弹性了使用者的使用情境，但也相对容易的遗漏权限或多开了权限，这就比较需要比较注意了～

• 另外如果使用了自订群组方式需要注意一些事项，若需要删除角色需要注意角色绑定都将保留在IAM政策中但处於无效状态，您可以在7天内恢复删除的角色，但在这7天内Cloud Console会显示该角色已被删除。

建立角色

1. 比较直觉的方式可以透过UI对目标直接设定也是我比较建议的做法(资讯比较明确不易搞错)

2. 当然也可以使用指令这边列一下用YAML建立角色语法：

(my-role-definition.yaml)

title: "My Company Admin"
description: "My custom role description."
stage: "ALPHA"
includedPermissions:
- iam.roles.get
- iam.roles.list

指令：

gcloud iam roles create myCompanyAdmin --organization={organization_id} \
  --file=my-role-definition.yaml

还有需多指令可以查看Google官方文件(使用UI也很方便)～

参考文件: https://cloud.google.com/iam/docs/creating-custom-roles?_ga=2.99388445.-2022087475.1620281990&_gac=1.160714319.1627541391.CjwKCAjwgISIBhBfEiwALE19SVcVjTtDMPEIbl_ajudO02TgOhgTOkS40pIHwUVoFRNCFRtXCdE4JRoCSaYQAvD_BwE