🔵 Projects & IAM
Иерархия ресурсов GCP, Organization, Projects, IAM roles
🏗️ Иерархия ресурсов GCP
Organization → Folders → Projects → Resources. Policy наследуется сверху вниз. Organization — корень компании. Project — независимый контейнер с собственным биллингом, API и ресурсами.
🔐 Cloud IAM
Who (Member/Principal): Google Account, Service Account, Google Group, Cloud Identity Domain. Can do what (Role): Primitive (Owner, Editor, Viewer), Predefined, Custom. On which resource: уровень Project, Folder или Organization.
🤖 Service Accounts
Non-human identity — для приложений и VM. Аутентификация через JSON key или Workload Identity Federation. Best practice: отдельный SA для каждого сервиса, минимальные разрешения. Получение токена через Instance metadata service.
🔑 Cloud Identity & Access Management
Condition: Attribute-based access (время, IP, тег ресурса). IAM Policy Binding: member + role + (optional) condition. Allow Policy vs Deny Policy. Устранение неполадок политики: Policy Analyzer, IAM Recommender.
💡 Ключевые моменты
- Organization > Folder > Project > Resource
- IAM: Who + Role + Resource
- Service Account = non-human identity
- Policy наследуется: сверху вниз
- Deny policy — имеет приоритет над Allow policy
🎯 Советы для экзамена
- Primitive roles (Owner/Editor/Viewer) — на экзамене считаются "too permissive", предпочтительны predefined roles
- Service Account impersonation — один SA действует от имени другого SA (JSON key НЕ ОБЯЗАТЕЛЕН)
- Workload Identity Federation — предпочтительный метод аутентификации для GKE workloads вместо JSON key
- Organization Policy — это не IAM policy! Это ограничение ресурсов (например, запрет external IP)
- IAM Recommender — рекомендует сократить разрешения, не использовавшиеся в течение 90 дней
⚠️ Частые ошибки
- Путаница Organization Policy = IAM Policy — Organization Policy задаёт ограничения ресурсов, IAM отвечает за контроль доступа
- Назначение роли Owner для Service Account — нарушает принцип минимальных привилегий, используйте predefined role
- Считать, что Deny policy вообще отсутствует — в GCP Deny policy существует и имеет ПРИОРИТЕТ над Allow policy
🧠 Для запоминания: "WCRR" — Who (member), Can do what (role), on which Resource — 3 ключевых понятия IAM. "OFPR" — Organization, Folder, Project, Resource — порядок иерархии
Проверьте себя по теме «Projects & IAM»
Бесплатные интерактивные тесты, пробный экзамен и полные уроки — на платформе CertMaster.
Начать бесплатно →