DevOps工程师-云计算与基础设施管理-Google Cloud Platform (GCP)_GCP核心服务：身份与访问管理.docx

PAGE1

PAGE1

身份与访问管理基础

1GCP身份与访问管理(IAM)简介

GoogleCloudPlatform(GCP)的身份与访问管理(IAM)是一项核心服务，用于控制谁可以访问您的云资源。IAM提供了一种精细的权限管理方式，允许您为不同的用户和实体分配特定的角色，从而确保只有授权的人员或服务才能执行特定的操作。

1.1IAM的重要性

安全性：通过IAM，您可以确保只有经过身份验证和授权的用户才能访问您的资源，从而保护您的数据和应用程序免受未授权访问。

灵活性：IAM允许您为不同的用户和团队分配不同的权限，确保每个人只能访问他们需要的资源，而不会对其他资源造成影响。

可扩展性：随着您的项目和团队的增长，IAM提供了一种简单的方式来管理访问控制，无需手动更改每个用户的权限。

2IAM角色与权限详解

IAM角色是一组权限的集合，这些权限定义了可以对GCP资源执行的操作。角色可以是预定义的，也可以是自定义的。

2.1预定义角色

预定义角色是Google提供的一系列角色，涵盖了常见的使用场景。例如：

ProjectOwner：拥有对项目的所有权限，包括管理项目中的所有资源和IAM权限。

ProjectEditor：可以创建、修改和删除项目中的资源，但不能更改项目级别的IAM权限。

ProjectViewer：只能查看项目中的资源，不能进行任何修改。

2.2自定义角色

自定义角色允许您创建具有特定权限的角色，以满足特定的业务需求。例如，如果您只需要一个角色来管理特定的云存储桶，可以创建一个自定义角色，只包含与云存储桶相关的权限。

2.3权限

权限是IAM角色的基本组成部分，定义了可以对资源执行的具体操作。例如，storage.buckets.get权限允许用户获取云存储桶的详细信息。

3IAM政策与绑定

IAM政策是应用于GCP资源的一组规则，定义了哪些用户或服务账户可以执行哪些操作。IAM政策由一系列绑定组成，每个绑定包含一个角色和一组成员。

3.1IAM政策示例

假设我们有一个项目，需要为两个不同的用户分配不同的角色：

{

bindings:[

{

role:roles/editor,

members:[

user:alice@

]

},

{

role:roles/viewer,

members:[

user:bob@

]

}

]

}

在这个例子中，alice@被分配了ProjectEditor角色，而bob@被分配了ProjectViewer角色。

3.2更新IAM政策

使用GCP的命令行工具(gcloud)或者RESTAPI，您可以更新资源的IAM政策。以下是一个使用gcloud更新IAM政策的例子：

#添加用户alice@为ProjectEditor

gcloudprojectsadd-iam-policy-binding[PROJECT_ID]\

--member=user:alice@\

--role=roles/editor

#移除用户bob@的ProjectViewer权限

gcloudprojectsremove-iam-policy-binding[PROJECT_ID]\

--member=user:bob@\

--role=roles/viewer

4IAM服务账户与工作身份

服务账户是GCP中的一种特殊账户，用于代表应用程序或服务执行操作。服务账户可以被赋予IAM角色，从而允许应用程序或服务以该角色的身份访问GCP资源。

4.1创建服务账户

使用gcloud创建服务账户：

gcloudiamservice-accountscreate[ACCOUNT_NAME]\

--display-name=MyServiceAccount

4.2为服务账户分配角色

创建服务账户后，您需要为其分配角色：

gcloudprojectsadd-iam-policy-binding[PROJECT_ID]\

--member=serviceAccount:[ACCOUNT_NAME]@[PROJECT_ID].\

--role=roles/storage.admin

在这个例子中，我们为服务账户分配了StorageAdmin角色，允许它管理云存储桶。

4.3工作身份

工作身份是GCP提供的一种功能，