现在所有的Google云端服务(Google Cloud Platform,GCP)都提供客制化角色IAM(Identity and Access Management),让网管能更细致且清楚的管理,使用者账号所能存取的服务以及特殊权限。
Google产品经理Rohit Khare表示,IT的安全目标之一,就是让对的人用对的方法存取对的资源,客制化角色IAM系统可以实践最小权限原则,精确赋予使用者可以执行工作的权限。
GCP平台原本就提供了数百种预先定义的角色,权限大如特定产品的拥有者,或是小如云端储存档案的浏览者,而这些预定义角色是由数千种IAM权限组成,而客制化角色IAM的功能,则是让管理者管理使用者多重GCP服务的IAM权限。
Rohit Khare举例,当有一个工具项目,需要同时存取Cloud Storage Buckets、BigQuery Tables以及Cloud Spanner Databases服务,首先,由于列举数据不具解密特权,因此管理者许要先为整个项目授予.query、.decrypt和.get权限。
接着管理者就可以为项目底下的账号,设立客制化角色IAM权限,例如赋予使用者账号具备Cloud Storage管理者预定义权限中的Storage.buckets.list和Storage.objects.get的2种权限,接着再从BigQuery浏览者预定义权限中选取Bigquery.tables.list和Bigquery.tables.get,以此类推,最后增加Spanner.databases.list和Spanner.databases.get权限,如此便完成设定。
GCP上所有的权限都由相对应的API控制,除了少数测试中或是只提供给预定义角色使用外,几乎所有的权限都能够用于客制化设定,陆续也会有新的权限更新,用户可以在权限变更日志中找到最新的数据,而且目前所有的GCP服务都提供客制化角色IAM服务。
Rohit Khare建议,他们提供了一些最佳实际范例供管理者参考,而管理者也可以先试着维护自己的客制化角色IAM,以熟悉这项功能,进一步还能整合云端部属管理员(Cloud Deployment Manager)使用,自动化管理账号客制化权限。