全栈工程师-DevOps与云计算-Google Cloud Platform (GCP)_GCP核心服务：身份与访问管理.docx

PAGE1

PAGE1

身份与访问管理基础

1GCP身份与访问管理(IAM)简介

GoogleCloudPlatform(GCP)的身份与访问管理(IAM)是一项核心服务，用于控制谁可以访问您的云资源。IAM提供了一种精细的权限管理方式，允许您为不同的用户和实体分配特定的权限，确保只有授权的人员或服务才能访问敏感数据和资源。

1.1IAM的关键概念

成员：可以是用户、服务账户或Google管理的实体，如GoogleGroup。

角色：定义了成员可以执行的操作集合。角色可以是预定义的或自定义的。

权限：是角色中定义的特定操作，如读取、写入或管理资源。

资源：在GCP中，资源可以是项目、文件存储、数据库等。

政策：是应用于资源的规则集合，定义了哪些成员可以执行哪些操作。

2IAM角色与权限详解

IAM角色是权限的集合，可以是预定义的或自定义的。预定义角色由Google提供，涵盖了常见的使用场景，如roles/editor、roles/owner和roles/viewer。自定义角色则允许您根据特定需求创建角色，精确控制权限。

2.1预定义角色示例

roles/owner：拥有对项目的所有权限，包括管理其他成员的权限。

roles/editor：可以读取和修改所有资源，但不能管理其他成员的权限。

roles/viewer：只能读取资源，不能进行任何修改。

2.2自定义角色创建示例

#使用GoogleCloudSDK创建自定义角色

#首先，定义角色的权限

permissions=[

compute.instances.get,

compute.instances.list,

compute.disks.get,

compute.disks.list

]

#然后，创建角色

#请替换YOUR_PROJECT_ID和YOUR_ROLE_NAME为实际的项目ID和角色名

gcloudiamrolescreateYOUR_ROLE_NAME\

--project=YOUR_PROJECT_ID\

--title=CustomComputeViewer\

--description=Canviewcomputeinstancesanddisks\

--stage=GA\

--permissions=${permissions[@]}

3IAM政策与绑定

IAM政策是应用于资源的权限规则集合，它由一系列的绑定组成。每个绑定包含一个角色和一组成员，定义了哪些成员拥有该角色的权限。

3.1IAM政策绑定示例

#使用gcloud命令行工具为项目添加IAM绑定

#请替换YOUR_PROJECT_ID和YOUR_EMAIL为实际的项目ID和用户邮箱

gcloudprojectsadd-iam-policy-bindingYOUR_PROJECT_ID\

--member=user:YOUR_EMAIL\

--role=roles/viewer

3.2解析绑定命令

上述命令将用户YOUR_EMAIL添加到项目YOUR_PROJECT_ID的IAM角色roles/viewer中。这意味着该用户将能够查看项目中的所有资源，但不能进行任何修改。

4IAM服务账户与工作身份

服务账户是GCP中的一种特殊成员类型，用于代表应用程序或服务执行操作。工作身份则是一种机制，允许您使用企业身份提供商（如Okta、PingIdentity或OneLogin）来管理GCP中的访问权限。

4.1创建服务账户示例

#使用gcloud命令行工具创建服务账户

#请替换YOUR_PROJECT_ID和YOUR_SERVICE_ACCOUNT_NAME为实际的项目ID和服务账户名

gcloudiamservice-accountscreateYOUR_SERVICE_ACCOUNT_NAME\

--project=YOUR_PROJECT_ID\

--display-name=MyServiceAccount

4.2为服务账户绑定角色

#使用gcloud命令行工具为服务账户添加IAM角色

#请替换YOUR_PROJECT_ID和YOUR_SERVICE_ACCOUNT_NAME为实际的项目ID和服务账户名

gcloudprojectsadd-iam-policy-bindingYOUR_PROJECT_ID\

--memb