Как резервируются и проверяются роли IAM, которые определены в GCP? - PullRequest
Новая
       84

Как резервируются и проверяются роли IAM, которые определены в GCP?

0 голосов
/ 11 апреля 2020

Мы новички в GCP. Мы создали пользовательские роли и будем обновлять их. Как они резервируются, чтобы мы могли их восстановить? Как мы можем проверить изменения в этих ролях?

Ответы [ 3 ]

0 голосов
/ 12 апреля 2020

Вы можете использовать инфраструктуру как службу кода для резервного копирования, воссоздания или отслеживания изменений в пользовательской роли IAM. GCP предлагает Cloud Deployment Manager (https://cloud.google.com/deployment-manager), который можно использовать для резервного копирования любой политики IAM или управления пользовательской ролью. Например, развернув приведенную ниже конфигурацию, вы можете создать пользовательскую роль для проекта: 

 resources:
  - name: custom-role
    type: gcp-types/iam-v1:projects.roles
    properties:
      parent: projects/{{ env["project"] }}
      roleId: {{ properties["roleId"] }}
      role:
        title: {{ properties["title"] }}
        description: {{ properties["description"] }}
        stage: {{ properties["stage"] }}
        includedPermissions: {{ properties["includedPermissions"] }}
0 голосов
/ 13 апреля 2020

Как сказал @ttfreeman, лучший способ - определить роли как код. Terraform - еще один популярный инструмент, используемый для этого. Затем вы можете зафиксировать эти файлы в репозитории Git, что дает вам контроль версий. У GCP есть журналы аудита, но репо Git также является гораздо более хорошим способом следить за изменениями, на мой взгляд.

0 голосов
/ 12 апреля 2020

Я полагаю, что нет явного резервного копирования, но одна идея состоит в том, чтобы создать сценарий или документацию на основе Google Cloud SDK, чтобы связать команды создания ролей. В документации есть руководство о том, как его создать с помощью SDK

. Также вы можете проверить свои пользовательские роли, созданные для проекта: 

gcloud iam roles list --project <your-project-id>

Или для вашей организации: 

gcloud iam roles list --organization <your-organization-id>

Для аудита изменений в пользовательских ролях используйте &supportedpurview=project" rel="nofollow noreferrer"> страницу действий в облачной консоли

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...