---
title: GCP IAM & Admin # 簡報的名稱
tags: GCP # 簡報的標籤
---
## GCP IAM & Admin
----
## Agenda
- IAM基本概念
- IAM Policy
- Resource Hierarch
- 介面介紹
- 建置IAM變動告警
---
## IAM基本概念(Identity and Access Management)
### 1.identity
-----------
### 2.Role
* Primitive roles: Owner, Editor, Viewer, Billing Administrator
* Predefined roles:針對特定的雲端資源權限的 role,例如 Pub/Sub Publisher
* Custom roles:客製化 role,多個 permissions 依照使用需求組合而成
-----------
### 3.費用
所有 Google Cloud 客戶不必支付額外費用即可使用 Cloud IAM,只需要支付其他 Google Cloud 服務的使用費
-----------
## IAM Policy
授予使用者有哪些權限做什麼事的語句集合,用於訪問該資源時強制實施權限控制
每當該雲端資源被存取時,policy會檢查該使用者是否有權限使用
#### 使用情境:
Cloud Console 中執行大規模更新或自動更新或對每個成員運行gcloud命令
### IAM Policy結構
#### 支援格式:JSON、YAML
-----------
## Resource Hierarch
Google Cloud資源的權限等級是根據階層來分類
#### 用途:
* 提供所有權層次結構
* 為訪問權限控制和組織政策提供連接點與繼承機制
-----------
-----------
## 介面介紹
-----------
## 建置IAM變動告警
### 1.建立指標
#### 進入「Logs viewer」頁面
#### 於搜尋欄位的下拉式選單,選擇「Convert to advanced filter」
#### 於搜尋框內輸入以下內容後按下建立指標
#### 右側跳出窗口,輸入「名稱」後,點選「建立指標」
#### 頁面轉跳到「Logs-based Metrics」,於右側頁面下方 「User-defined Metrics」顯示上個步驟所建立的指標
### 2.建立告警
#### 從上個步驟指標的右側,點選「Create alert from metric」
#### 設定告警條件
#### 確認告警名稱、條件、通知頻道
#### 儲存完畢後會在「Alerting」頁面中新增一筆 IAM_Alerting 的告警
### 3.測試告警
#### 於IAM新增權限,約一分鐘後信箱查看是否有收到告警通知
-----------
## Reference
* [IAM 的工作原理](https://cloud.google.com/iam/docs/overview)
* [IAM權限管理快速上手](https://blog.gcp.expert/identity-and-access-management/)
* [GCP資源層次結構](https://www.zcoffee.top/p/21#toc210)
* [排查訪問權限問題](https://cloud.google.com/iam/docs/troubleshooting-access)
* [GCP針對IAM變動設置告警通知](https://www.microfusion.tw/2020/04/01/iam-1/)
Sign in via Google
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Connect another wallet