gcpのグループ、メンバー、プリンシパルの割り当て、運用

自分用メモ

groupの新規作成

google workspaceから作る方がずっと楽かつ、安全。gcpやgoogleの人もそうしてるっぽい。medianのどっかの記事に書かれてた気がする。
google workspaceの管理画面からgroupの作成で適切な権限を与える。

gcloud コマンドや、cloud コンソールから適切な権限を素早く作るのは難しい。

あまり知られてないいがサービスアカウントは組織外のメンバーの許可がなくても、groupに追加することができる。
サービスアカウント管理用のgroupは組織外のメンバーの許可にチェックをつけないようにしよう。

gcpようにgroupの権限の追加

ここからさらにgcp用のgroupの権限を追加する。
これはcloud consoleか、gcloudコマンドから追加する。
会社の責任者や、CTOなど役員以外は個人のアカウントに直接権限を充てない。管理が難しくなる。

ただ、サービスアカウントは最低限の権限だけ割り当てたいので個別にroleを割り当てること。
サービスアカウントは機械的に処理されるものなので、過剰に権限を割り当てると危険。

groupにメンバーを割り当て

下のコマンドで追加できるはずだが、サービスアカウントはなぜか追加できなかったので、google workspaceか、gcpコンソールから追加すること。

どんなユーザーもgroupに割り当てよう。ユーザー,プリンシパル,グループの一覧表示のコマンドが存在しないので、groupに追加しないと
コマンド上では迷子のユーザーができてしまう。

gcloud beta identity groups memberships add --group-email groupのメールアドレス --member-email メンバーのアドレス

アカウント一覧

ユーザー一覧を表示するコマンドは無いっぽい。
下記のコマンドを使えば、service-accountsをリスト表示できる。

なので、groupに追加しないと迷子になる可能性が高い。

gcloud iam service-accounts list

groupに所属しているアカウント一覧

gcpコンソールから見るか、google workspaceの管理画面から見るか。

コマンドだと下のようになる。

gcloud beta identity groups memberships list --group-email="gcp-developers@会社のドメイン名"