GCPの基本(リソース階層・IAM)

GCPリソース階層

  1. 組織: 会社ごとに一つ。AWSではOrganization
  2. フォルダ: 組織に含まれる概念。AWSではOU
  3. プロジェクト: 課金単位。AWSではアカウント
  4. リソース

IAM

  • 組織、フォルダ、プロジェクト、リソースに対しての権限を付与

ロール: 権限の集合
ポリシー: プリンシパルへのロールの割り当て

ロールと権限を紐づける画面は以下のような感じ

基本ロール

  • Browser: フォルダ、組織、IAMポリシーなどのプロジェクトの階層の閲覧権限。リソースの表示権限はない
  • Viewer: 閲覧者
  • Editor: Viewer権限に加え、リソースの編集権限
  • Owner: すべてのEditor権限に加え、リソースの権限管理、課金情報設定が可能

権限の一つ一つは、以下のように表される

まとめ

  • プロジェクト単位: Browser, Viewer, Editor, Owner
  • サービス単位: Viewer, Editor, Owner
    • サービスの一部についての権限も付与できる
  • ↑に加え、Conditionで最小権限の原則を実現する
  • 権限を剥奪しても、最大で80秒程度アクセス可能
    • AWSでは即座に剥奪されるが、GCPは非同期