GCPのCloudIAMの基本概念のメモ

AWSの権限管理ははまぁ歴史があるのでそことなく調べれば落とし所が
つくのにGCPはまだカオスな感じでどうすれば良いかわからない皆さんこんにちは。

今回GCPの権限管理(役割)を整理をしてみてえ？？？どういう事謎だなーというところをまとめてみました。
半分自分用のメモでもあるのはご了承くださいませmm。

詳細を知りたい方は本家ドキュメントをお願いしまーす。

対象者

• GCPでCloudIAMで権限設定しようとしている人
• ノリでGCP使っていて権限とか真剣に整備していない人

事前に必要なもの

• GCPConsoleに入れる権限

これを読んでわかること

• Cloud IAMの基本概念の斜め読み

色々入る前に基本的なCloudIAMの概念

Google Cloud Platform（GCP）に備わっている Cloud IAM を使用すると、誰（ID）がどのリソースに対するどのようなアクセス権限（役割）を持つかを定義することで、アクセス制御を管理できます。

参考: Cloud IAMの基本コンセプト

誰(ID)

• Googleアカウント
• サービスアカウント
• GoogleGroup
• GSuiteドメイン
• Cloud Identity ドメイン

どのリソース

• プロジェクト
• Compute Engine インスタンス
• Cloud Storage
• 等など

どのようなアクセス権限(役割)

• 基本の役割
  • Google Cloud Platform Console で従来使用されていた役割は継続して使用できます。オーナー、編集者、閲覧者の役割があります。
• 事前定義済みの役割
  • 基本の役割より詳細なアクセス制御が可能な Cloud IAM の役割です。たとえば、事前定義済みの役割 Pub/Sub パブリッシャー（roles/pubsub.publisher）では、単に Cloud Pub/Sub トピックにメッセージをパブリッシュするだけのアクセス権が提供されます。
• カスタムの役割
  • 事前定義済みの役割がニーズを満たしていない場合に、組織のニーズに応じて権限を調整するために作成する役割。

参考: Cloud IAMの基本コンセプト#権限

です。

最初ピンと来なかったのが

• プロジェクトがリソース扱いなところ(Compute Engineとプロジェクトがリソースという固まりになっているところ)
• IDが複数のGoogleのサービスと連携しているところ(どのサービスから継承して現状の設定になっているか分かりづらい...)
  • Googleアカウント
  • GSuite

というのがありました。

またここにはないのですがFireBase経由でプロジェクトを作成するとGCPのIAMと連動して権限が設定されます。

最後に

次回はこれを踏まえた上でゆるい権限管理について書こうと思います