Облачный ресурс Google создан с пользователем, которого нет в IAM - PullRequest
Новая
       37

Облачный ресурс Google создан с пользователем, которого нет в IAM

1 голос
/ 27 января 2020

Ситуация:

  • У меня есть проект GCP (owner), который находится в организации, к которой у меня нет доступа, поэтому я вижу его в No Organization
  • пользователь (xyz@domain.com) создал подписку для существующего pubsub topi c, я вижу, что в журналах аудита и активности
  • этот пользователь не отображается для меня в IAM (например, как editor или с какой-либо определенной спецификацией pubs c role)
  • я также не вижу этого пользователя в какой-либо теме / подписке, связанной с pub / sub, с ролью, особенно в topi c, в которой он создал подписку

Резюме:

  • xyz@domain.com создал подпрограмму.
  • Я не знаю, откуда он получил роль (унаследованную?)

Вопрос:

  1. Возможно ли, что у этого человека, например, editor в организации (или какой-либо папке над проектом), но я не вижу этой роли в моем Раздел IAM проекта?
  2. Если нет, откуда эта роль может быть унаследована?

1 Ответ

1 голос
/ 14 февраля 2020

Создание подписки

Чтобы подписаться на Pub / Sub topi c, пользователь должен иметь возможность создать объект подписки. Для этого требуется разрешение pubsub.subscription.create на Topi c. Он может быть явно назначен на Topi c или унаследован от родительских уровней (Project, Folder, Org) через:

  • пользовательскую роль, унаследованную от уровня Project или выше;
  • предопределенная роль pubsub.editor или pubsub.admin , назначенный на уровне Pub / Sub Topi c или унаследованный от родительского уровня;
  • примитивная роль редактор или владелец , унаследованный от уровня ресурсов проекта или службы или выше; например, учетная запись службы по умолчанию Compute Engine только что созданные экземпляры виртуальных машин, работающие от имени, имеют роль Editor в проекте, частью которого он является.

Просмотр назначений ролей

Чтобы отследить, откуда унаследованы действующие права, необходимо перечислить следующие разрешения:

  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.folders.getIamPolicy
  • resourcemanager.projects.getIamPolicy

Предопределенные роли IAM, содержащие эти разрешения:

  • resourcemanager.organizationAdmin
  • iam.securityAdmin
  • iam.securityReviewer

Предопределенные роли IAM, которые могут прослеживаться до уровня папки:

  • resourcemanager .folderAdmin
  • resourcemanager.folderEditor
  • resourcemanager.folderIamAdmin

Роли примитива IAM:

  • Средство просмотра
  • Редактор
  • Владелец

Чтобы получить полное представление о полученных разрешениях, вам должны быть предоставлены перечисленные выше роли, назначенные как можно выше в иерархии IAM (в идеале на уровне организации) для получить достаточно административных возможностей для расследования.

Вы не можете видеть привязки, которые находятся за пределами имеющейся административной области. Поэтому вы не можете видеть уровень, на котором унаследованы разрешения, а также субъект безопасности, для которого предоставляются разрешения.

Вернуться к вопросам

  1. Возможно ли, что у этого человека есть, например, редактор по организации (или какая-то папка над проектом), но я не знаю видите эту роль в моем разделе IAM проекта?
    • Да
  2. Если нет, откуда эта роль может быть унаследована?
    • Уровень организации и все уровни папок (которые могут быть вложены) над вашим Проектом.

Документация поставщика

Роли IAM

Cloud Pub / Sub | Контроль доступа | Роли

Уровень поддержки разрешений в пользовательских ролях

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...