概要/背景
管理の都合上、AフォルダからBフォルダにプロジェクトを移動しました。
しかし、AフォルダとBフォルダには権限の差分が生じてしまいます。
必要な権限を過不足なくBフォルダに付与する必要があります。
作業目標
不必要な権限がBフォルダに付与されないようにBの権限を補填したい。
作業内容
Aフォルダの権限を調査
Google Cloud コンソール画面の IAM と管理 > IAM から、Aフォルダの権限を確認します。
対象のプロジェクトで使用しているユーザーグループ、サービスアカウントのロール・権限を洗い出します。
Bフォルダの権限を調査
移動先のBフォルダに、Aフォルダで利用しているロールを付与します。
下記スクショにある「セキュリティ分析情報」を参考に付与しすぎている権限はないかを確認します。
「過剰な権限」をクリックすると、以下のような画面が出てきます。
スクロールしていくと、余分な権限の一覧がまとまっています。
Googleさん、非常にありがたい。。
この一覧を元に不要な権限を排除していくと、不必要な権限を所持させない非常に理想的なIAM管理が実現できます。
終わりに
今回は簡単な自前の環境のスクショを提示していますが、大きなPJになればなるほど権限の問題は顕著に現れます。
早い段階で、仕組み化して、面倒な権限洗い出しから付与・削除をすることのない環境を作ることが大切です。
コメント