星期六, 8月 31, 2019

Cloud Identity with GCP 小記

Cloud Identity with GCP 小記

最近因爲工作上有一個需求, 所以來嘗試 Cloud Identity 這個服務

先說一下動機
  • 想在 GCP 上面進行 IAM 人員管理, 不想讓專案的人員使用個人的 gmail 加入專案以免維護困難
    • 目前 GCP 上面人員要加入專案, 可以是 gmail / G suite / Cloud Identity 
      • 如果公司未導入 G suite 或是 Cloud Identity, 可能就是讓員工以個人或是新增 gmail 加入專案, 這樣造成管理上的困難 -- 因為成員調動組織或是離職的時候, 很難維護管理.
  • G Suite 爲付費服務, Cloud Identity 有免費版本 ( 人數爲 50 人以下 )
    • 目前的瞭解, 兩者的差異是 G Sutie 有 Google Drive 以及 Gmail 等服務, 所以如果只是要拿來驗證以及管理, 現階段 Cloud Identity 應該就足夠了.

Cloud Identity 官方網頁

條件
  • 必須要有網域管理權, 可以驗證網域

我這邊是使用 Gandi Taiwan 在 COSCUP 研討會發放的一年免費 .tw 網域註冊免費序號

  • 感謝 Haway Liang 經理給我免費序號


做法
先登入 GCP console 

點選 IAM 與管理員 -- > 身份識別與機構 
點選 Cloud Identity 下面的 註冊


這個時候會開一個新分頁 ( Cloud Identity 的歡迎頁 )
點選 下一頁




輸入公司名稱 以及規模 -- >  下一頁





輸入公司電話 ( 手機也可以 )
-- > 下一頁


輸入電子郵件 -- > 下一頁

 輸入網域名稱 -- > 下一頁

確認網域名稱 -- > 下一頁

輸入名稱 -- > 下一頁



輸入管理者帳號以及密碼 -- > 下一頁


選擇是否提供意見給 Google

點選 同意並建立帳戶 完成建立


接下來會被帶到管理控制台的登入頁面
  • admin.google.com

輸入剛剛建立的帳號以及密碼進行登入


在設定 Cloud Identity 頁面 點選 開始


接下來要進行驗證網域所有權的部分
因為我是使用 Gandi 管理的網域, GCP 偵測到之後, 只會出現一箇 Oauth 是否同意的視窗
點選同意之後, 就自動設定完成了
  • 不用手動設定 CNAME
  • 只是過程會比較久, 大概 20 ~ 30 mins



建立完成之後來進行相關實作

首先登入 Google Admin , 以剛剛建立的網域管理者登入

授權想法
  • 專案授權給 Cloud Identity Group, 以後如果有使用者調動或是離職, 就直接從群組調整即可

點選 群組


點選 建立群組


輸入 群組相關資料
  • 目前我的命名方式是 專案名稱_權限 
  • 點選 下一步

選取 存取類型 -- > 建立群組


點選 完成


回到 GCP 專案上面

點選 IAM 與管理員 -- > IAM 
點選 新增 



輸入 Cloud Identity Group e-mail
選取角色 -- > 儲存


驗證是否有相關權限

在剛剛建立的網域使用者, 登入 GCP 控制臺, 這個時候, 會發現有被加入剛剛的專案
點選 Compute Engine -- > VM 執行個體


這個時候會發現可以觀察 VM instance, 但是不能建立 instance 因為當初被授權的角色是 檢視者
:)

達成此次 Lab 要求
先記下來

~ enjoy it

沒有留言: