Identity and Access Management (IAM) 是一項工具,可讓您控管哪些使用者能在 Google Cloud 環境中執行哪些操作。
存取權是透過 IAM 權限控管,您必須具備這些權限,才能使用 Google Cloud 環境中的任何資源。獲得資源的使用權限後,您就有權存取該資源。如果沒有適當的授權,您就無法存取 Google Cloud資源。
權限與角色
如要使用資源,使用者帳戶必須具備存取該資源的相關權限。
通常身分與存取權管理管理員負責控管資源存取權。管理員可以授予您權限,讓您存取單一資源,或是專案、資料夾或機構中的所有資源。管理員會將相關權限授予使用者帳戶,這些權限會以角色的形式組合在一起。只要使用者帳戶的角色具備適當權限,即可使用該角色存取 Google Cloud 資源。
一般來說,在Google Cloud 環境中對任何資源執行動作的工作流程如下:
- 您想對資源執行動作 (例如將物件上傳至 Cloud Storage bucket),但沒有適當的權限。如未取得權限,您就無法執行這項操作。
- 您可以透過偏好的要求管理系統,或直接從 Google Cloud 控制台的權限錯誤訊息,向 IAM 管理員要求所需權限。
- IAM 管理員會將包含適當權限的角色授予您的使用者帳戶。現在可以執行動作。
以管理員身分使用 IAM
管理員通常負責授予使用者角色,讓他們可以存取 Google Cloud 資源。使用者會以經過驗證的身分 (稱為「主體」) 表示。
如要將資源的角色授予主體,請編輯附加至資源的允許政策。允許政策會列出哪些主體有權存取資源,以及可對資源執行的動作。IAM 會使用允許政策,判斷主體是否具備存取資源的必要權限。因此,如要授予主體特定資源的存取權,您必須更新資源的允許政策,加入主體和要授予的角色。
管理員可以將角色授予下列類型資源的主體:
- 專案、資料夾和機構:這些是容器資源,用於建構資源階層。您在這些容器資源上授予的角色,會套用至其中包含的所有服務專屬資源。
- 服務專屬資源:這些資源是服務提供的功能或元件。舉例來說,Compute Engine 具有執行個體、磁碟和子網路等資源。在服務專屬資源上授予角色,可提供比在容器資源上授予角色更精細的存取權控管,因為這樣做可將使用者存取權限制在該資源。
使用 IAM 進行進階存取權控管
允許政策是透過 IAM 控管Google Cloud 環境存取權最常見的方法。不過,IAM 也提供其他更進階的存取控管選項,包括:
- 其他政策類型,例如拒絕政策和主體存取邊界政策
- 屬性式條件存取控管
- 暫時性存取權控管,例如 Privileged Access Manager (PAM)
其他存取控管方式
雖然 IAM 是Google Cloud的主要存取控管方法,但其他 Google Cloud 服務也可能會影響使用者對資源的存取權。
以下列舉幾個可能影響使用者存取權的其他服務:
- Access Context Manager: Access Context Manager 可讓您依據屬性,為 Google Cloud中的專案和資源定義精細的存取控管機制。
- Identity-Aware Proxy (IAP):IAP 使用應用程式層級的存取權控管模型,可為透過 HTTPS 存取的應用程式建立中央授權層。
- 機構政策服務: 機構政策可讓您在資源階層中設定限制,透過程式集中控管機構的雲端資源。
- VPC Service Controls: VPC Service Controls 可讓您定義 perimeter,保護您明確指定的 Google Cloud 服務資源和資料 Google Cloud 。