--- title: GCP IAM & Admin # 簡報的名稱 tags: GCP # 簡報的標籤 --- ## GCP IAM & Admin ---- ## Agenda - IAM基本概念 - IAM Policy - Resource Hierarch - 介面介紹 - 建置IAM變動告警 --- ## IAM基本概念(Identity and Access Management) ### 1.identity  ----------- ### 2.Role * Primitive roles： Owner, Editor, Viewer, Billing Administrator * Predefined roles：針對特定的雲端資源權限的 role，例如 Pub/Sub Publisher * Custom roles：客製化 role，多個 permissions 依照使用需求組合而成  ----------- ### 3.費用 所有 Google Cloud 客戶不必支付額外費用即可使用 Cloud IAM，只需要支付其他 Google Cloud 服務的使用費 ----------- ## IAM Policy 授予使用者有哪些權限做什麼事的語句集合，用於訪問該資源時強制實施權限控制 每當該雲端資源被存取時，policy會檢查該使用者是否有權限使用 #### 使用情境: Cloud Console 中執行大規模更新或自動更新或對每個成員運行gcloud命令  ### IAM Policy結構 #### 支援格式:JSON、YAML  ----------- ## Resource Hierarch Google Cloud資源的權限等級是根據階層來分類 #### 用途: * 提供所有權層次結構 * 為訪問權限控制和組織政策提供連接點與繼承機制 -----------  ----------- ## 介面介紹 ----------- ## 建置IAM變動告警 ### 1.建立指標 #### 進入「Logs viewer」頁面  #### 於搜尋欄位的下拉式選單，選擇「Convert to advanced filter」  #### 於搜尋框內輸入以下內容後按下建立指標  #### 右側跳出窗口，輸入「名稱」後，點選「建立指標」  #### 頁面轉跳到「Logs-based Metrics」，於右側頁面下方 「User-defined Metrics」顯示上個步驟所建立的指標  ### 2.建立告警 #### 從上個步驟指標的右側，點選「Create alert from metric」  #### 設定告警條件  #### 確認告警名稱、條件、通知頻道  #### 儲存完畢後會在「Alerting」頁面中新增一筆 IAM_Alerting 的告警  ### 3.測試告警 #### 於IAM新增權限，約一分鐘後信箱查看是否有收到告警通知  ----------- ## Reference * [IAM 的工作原理](https://cloud.google.com/iam/docs/overview) * [IAM權限管理快速上手](https://blog.gcp.expert/identity-and-access-management/) * [GCP資源層次結構](https://www.zcoffee.top/p/21#toc210) * [排查訪問權限問題](https://cloud.google.com/iam/docs/troubleshooting-access) * [GCP針對IAM變動設置告警通知](https://www.microfusion.tw/2020/04/01/iam-1/)