はじめに

前回より、GCPを使っているがサービスアカウントがどのリソースに対してどのような権限を持っているのかを把握するのが難しかった。
調べてみると、ポリシーアナライザという機能があり、そこでサービスアカウントがどのような権限を持っているのかを調べることができるようなので試してみる。

環境

GCP

手順

1. Google Cloud Console にログインする

2. IAM と管理 > ポリシーアナライザ に移動する

3. カスタムクエリを作成 を選択する

4. クエリのスコープを選択し、パラメータに「プリンシパル」を選択し、プリンシパルには「サービスアカウントのメールアドレス」を入力する

5. 「ANALYZE」から「クエリを実行」を選択する

6. クエリの結果(どのリソースにどのような権限があるのか)が表示されるので確認をする

参考

• IAM ポリシー用の Policy Analyzer
  https://cloud.google.com/policy-intelligence/docs/policy-analyzer-overview?hl=ja

おわりに

GCPはまだまだ触り始めて日が浅いので、IAM周りから理解していきたい。
なので、今回のポリシーアナライザを使用した権限調査をしてみた。
今後もよく使いそうなので調べておいてよかったと思う。