【IAM】ユーザーのリソースに対する権限を最低限に調整・管理する

GCP

概要/背景

管理の都合上、AフォルダからBフォルダにプロジェクトを移動しました。

しかし、AフォルダとBフォルダには権限の差分が生じてしまいます。

必要な権限を過不足なくBフォルダに付与する必要があります。

作業目標

不必要な権限がBフォルダに付与されないようにBの権限を補填したい。

作業内容

Aフォルダの権限を調査

Google Cloud コンソール画面の IAM と管理 > IAM から、Aフォルダの権限を確認します。

対象のプロジェクトで使用しているユーザーグループ、サービスアカウントのロール・権限を洗い出します。

Bフォルダの権限を調査

移動先のBフォルダに、Aフォルダで利用しているロールを付与します。

下記スクショにある「セキュリティ分析情報」を参考に付与しすぎている権限はないかを確認します。

「過剰な権限」をクリックすると、以下のような画面が出てきます。

スクロールしていくと、余分な権限の一覧がまとまっています。

Googleさん、非常にありがたい。。

この一覧を元に不要な権限を排除していくと、不必要な権限を所持させない非常に理想的なIAM管理が実現できます。

終わりに

今回は簡単な自前の環境のスクショを提示していますが、大きなPJになればなるほど権限の問題は顕著に現れます。

早い段階で、仕組み化して、面倒な権限洗い出しから付与・削除をすることのない環境を作ることが大切です。

コメント

タイトルとURLをコピーしました