# 開發者工坊 ### IAM [U2F](https://zh.wikipedia.org/zh-tw/%E9%80%9A%E7%94%A8%E7%AC%AC%E4%BA%8C%E5%9B%A0%E7%B4%A0) User-managed Service Account 公鑰GCP保管，私鑰使用者保管，並自行旋轉加密 gcloud iam service-accounts keys list --iam-account Workload identity federation-overview 傳統Service Account 私鑰保管很多問題， Workland 臨時token給外部存取api 1. workload identity pool(管理pool...權限) 2. Identity Provider 3. Security Token Service 4. Token Service 給出短期Token IAM 組織架構 - Organization - Folder - Project - Resource 組織Policy 上層小權限，下層在自定義。 Workspace 設定群組權限，將使用者加入群組賦予權限。 自定義角色，Google不會自動更新 nano, vim 操作記事本 gsutil ls gs://$DEVSHELL_PROJECT_ID ### VPC VPC 定義規則, VM 拒絕 Deny > Access DHCP Server gcloud compute ssh qwiklabs@mynet-us-vm --zone us-central1-a egress 基本要收費 vpc-peering 從egress 轉成內部網路，費用便宜些