現在所有的Google雲端服務(Google Cloud Platform,GCP)都提供客製化角色IAM(Identity and Access Management),讓網管能更細緻且清楚的管理,使用者帳號所能存取的服務以及特殊權限。

Google產品經理Rohit Khare表示,IT的安全目標之一,就是讓對的人用對的方法存取對的資源,客製化角色IAM系統可以實踐最小權限原則,精確賦予使用者可以執行工作的權限。

GCP平臺原本就提供了數百種預先定義的角色,權限大如特定產品的擁有者,或是小如雲端儲存檔案的瀏覽者,而這些預定義角色是由數千種IAM權限組成,而客製化角色IAM的功能,則是讓管理者管理使用者多重GCP服務的IAM權限。

Rohit Khare舉例,當有一個工具專案,需要同時存取Cloud Storage Buckets、BigQuery Tables以及Cloud Spanner Databases服務,首先,由於列舉資料不具解密特權,因此管理者許要先為整個專案授予.query、.decrypt和.get權限。

接著管理者就可以為專案底下的帳號,設立客製化角色IAM權限,例如賦予使用者帳號具備Cloud Storage管理者預定義權限中的Storage.buckets.list和Storage.objects.get的2種權限,接著再從BigQuery瀏覽者預定義權限中選取Bigquery.tables.list和Bigquery.tables.get,以此類推,最後增加Spanner.databases.list和Spanner.databases.get權限,如此便完成設定。

GCP上所有的權限都由相對應的API控制,除了少數測試中或是只提供給預定義角色使用外,幾乎所有的權限都能夠用於客製化設定,陸續也會有新的權限更新,使用者可以在權限變更日誌中找到最新的資料,而且目前所有的GCP服務都提供客製化角色IAM服務。

Rohit Khare建議,他們提供了一些最佳實際範例供管理者參考,而管理者也可以先試著維護自己的客製化角色IAM,以熟悉這項功能,進一步還能整合雲端部屬管理員(Cloud Deployment Manager)使用,自動化管理帳號客製化權限。


Advertisement

更多 iThome相關內容