【How-to Guides】GCP Security — 透過 Cloud Identity Free 幫你以組織方式實現多人安控機制
為何有些專案歸屬於「組織」項下,而有些則屬於「無組織」?主要因為是否使用了 Google Workspace(或 Cloud Identity)身分識別工具。若公司採用這些工具,系統管理員在建立 GCP 專案時,將自動建立組織結構。
藉由組織功能,公司能夠以階層方式有效管理所有專案,同時針對不同部門進行權限授權,以便不同使用者進行專案管理。相對於無組織狀態,組織化管理使得專案更具組織性。在公司需要對所有專案實現特定功能時,管理員只需進行一次設定,避免了逐一設定的繁瑣流程。
有趣的是,並不是所有使用 Google Workspace 都需要支付費用。Google 推出的 Cloud Identity Free 可在 Google 中使用 Workspace 建立使用者帳戶,享受一些 Workspace 功能,最重要的是,它是免費的。這代表著無需付費,即可輕鬆獲得與購買資源的人相同的優勢。😎✨
這也是近期需要使用到 Organization GCP 資源時,才發現沒有組織層有很多根本無法使用,例如 Shared VPC, Security 眾多功能(Beyond Corp, Access Context Manager, Resource Manager)和組織層級的 IAM。其次,也在研究怎麼管理小型 Lab,改使用有組織的層次,是可以提供一個統一的管理平台,方便管理多個 GCP 專案,並與 Cloud Identity 的工具搭配,都能有效地組織和管理 GCP 資源與使用者。
GCP Orgazization 建立有兩種方式
1. 透過 Google Workspace(付錢的 Gmail 並享有多個)
2. 利用 GCP 的 Cloud Identity 註冊公司的 Organization(網域)
- 透過 Google Workspace
如果你的公司使用 Google Workspace(需要付費的 Gmail 服務),你可以透過 Google Workspace 來建立 GCP Organization。這種方式可以方便地整合 GCP 資源與 Google Workspace 服務,並提供一個統一的管理平台。
2. 利用 GCP 的 Cloud Identity 註冊公司的 Organization(網域)
對於不使用 Google Workspace 的企業或公司,GCP 提供了 Cloud Identity 作為另一種建立 Organization 的方式。公司可以將自己的網域(例如 fubar.com.tw)註冊到 GCP 的組織中,以方便地管理和控制 GCP 資源。
認識 Cloud Identity
GCP 的 BeyondCorp 是一種安全架構和理念,提倡不依賴傳統的基於網路的安全模型,而是著重於用戶和設備的身份來進行訪問控制。BeyondCorp 的目標是在任何位置和網路上實現一致的安全性,而不是依賴傳統的「內部」和「外部」網路。這類強調以身份為基礎的存取控制,搭配與身份管理相關的 Cloud Identity 工具來實作,提供安全的身份識別和訪問控制,實作上可以以 Cloud Identity 管理和保護用戶的身份,確保他們可以安全地訪問所需的資源。
Cloud Identity 版本
- Cloud Identity Free(免費版): 提供 50 個使用者授權,適合小型組織或實驗用途。對於 50 位使用者以下的情況,可以先使用免費版,並在需要擴展時考慮升級到 Premium 版本。
- Cloud Identity Premium: 提供更多進階功能和授權,適用於大型組織或有更高需求的公司。詳細的功能差異可以參考比較 Cloud Identity 功能和版本,Cloud Identity 功能和版本差異比較。
Cloud Identity 與組織設定流程
切換至 IAM > 身份識別與機構(Identity & Organization)
- 前置作業 :準備好自己的網域
檢查清單
實作操作
接續會設定 Cloud Identity 的 Domain,如 Godaddy, Cloud Domain 網域代理商都可以
選擇驗證方法
GCP 提供設定的流程說明
以下是 GCP 新增 TXT 驗證碼的操作說明
如要完成網域驗證程序,請按照操作說明在網域代管商網站上新增所需的值。
1. 在新分頁中前往網域代管商的網站
2. 登入您的網域代管商網站
3. 請複製您的 TXT 驗證碼
google-site-verification=XXXxxxxxxxxxxE_rAh38syHrxxxxxw4. 找出 DNS 記錄
- 在「我的網域」頁面找到您要驗證 Google 服務的網域,然後按一下旁邊的 [管理]
- 按一下左欄中的 [DNS]
- 向下捲動到「自訂資源記錄」部分
5. 新增 TXT 記錄
- 在 [名稱] 欄位中輸入 [@]
- 從 [類型] 清單中選取 [TXT]。
- 保留 [存留時間] 欄位的預設值「1H」(1 小時)。
- 在 [資料/文字] 欄位中,貼上您從上述步驟複製的完整 TXT 驗證記錄。
以下是 CNAME 新增驗證碼的操作說明
步驟 1. 2. 都一樣,同上
3.請新增驗證碼,為記錄類型選取 [CNAME],並在其他欄位中輸入以下的值:
- CNAME 標籤/主機:xxxxx
- CNAME 目的位置/目標欄位:gv-4xiwxxxxxxuhl.dv.googlehosted.com
- 存留時間 (可選填或保留預設值):3600
- 類型:CNAME
4. 找出您的 DNS 記錄
- 在「我的網域」頁面找到您要驗證 Google 服務的網域,然後按一下旁邊的 [管理]。
- 按一下左欄中的 [DNS]。
5. 新增 CNAME 記錄
- 按照上述步驟複製 CNAME 驗證記錄的「標籤/主機」部分後,請將這項資訊貼到 [名稱] 欄位中。
- 從 [類型] 清單中選取 [CNAME]。
- 保留 [存留時間] 欄位的預設值「1H」(1 小時)。
- 按照上述步驟複製 CNAME 驗證記錄的「目的位置/目標」部分後,請將這項資訊貼到「資料/網域名稱」欄位中。
Cloud Identity 功能介紹
- 透過單一登入機制,讓使用者輕鬆存取應用程式
- 多重驗證機制可保護使用者和公司資料
- 端點管理服務可為個人裝置和企業裝置強制執行政策
包括目錄項下有使用者、群組等設定,其他還包括裝置、應用程式等…
注意:要用以下格式指定超級管理員使用者名稱:admin-[user](例如 admin-maria)。Cloud Identity 新增 <使用者名稱>@<您的網域>.com 作為 Cloud Identity 的第一位超級管理員。
希望限制公司核發的裝置操作登入
強制對每位使用啟用 MFA
以上展示如何透過 GCP 上的 Cloud Identity(Free)將公司或企業 Domain 申請 Organization,再將新建 Project 移至新產生的 Organization 項下,如此一來當需要使用 Organization 層級才有的功能時,便可以切換進行管理。
每次作完演練都要砍資源以怕被收取費用,這一次就不用砍了,放著使用吧!還可替公司每位員工提供免費 Google Workspace 資源,例如免費的雲端硬碟…。