search-all-iam-policiesでIAMを検索する

多くのプロジェクトに関わったエンジニアが退職の意向を示した時、管理者の脳裏に浮かぶのは「どうにかして引き留めよう」ではなく、「個人のIAMで動いてる部分ないだろうか?」ですよね。

「個人のIAMでバッチ処理が実行されていて、いつの間にか止まってた」
なんて事態は避けたいところです。

Google Cloud Consoleで組織の全プロジェクトのIAMを調べるのも良いですが、新たな退職者が増えるだけです。

gcloudコマンドで組織内の全プロジェクトに追加されている特定のアカウントのIAMを調べる

gcloud asset search-all-iam-policiesを使います。
scopeはIAMを検索する検索範囲で、組織・フォルダ・プロジェクトを指定する。最大の範囲は組織です。

--scope organizations/ORGANIZATION_NUMBER
--scope floders/FOLDER_NUMBER
--scope projects/PROJECT_ID or PROJECT_NUMBER

search-all-iam-policiesで取得できるプロジェクト情報はPROJECT_NUMBERでピンとこないので、projects listで取得したプロジェクト情報と結合して、把握しやすいPROJECT_IDに変換します。

下記は指定の組織内で指定のユーザーアカウントにIAMを追加しているPROJECT_IDを取得するシェルスクリプトです。

#!/bin/zsh

target_user=xxx@gcp.biz
organization_id=012345

pjs=$(gcloud projects list --format json | jq -r '.[] | [ .projectId, .projectNumber ] | @csv')

declare -A pj_arr
for pj in $pjs; do
    pj=$(echo $pj | sed -e 's/\"//g')
    pid=$(echo $pj | cut -d , -f 1)
    pno=$(echo $pj | cut -d , -f 2)
    pj_arr[$pno]=$pid
done

pjs=$(gcloud asset search-all-iam-policies --scope organizations/$organization_id --flatten "policy.bindings[].members" --filter "policy.bindings.members:$target_user" --format json | jq -r .[].project | sort | uniq)
for pj in ${pjs}; do
    pj=$(echo $pj | sed -e 's/projects\///')
    echo ${pj_arr[$pj]}
done

実行前の準備

このシェルでIAMを取得するには、実行するユーザーアカウントに組織で下記のIAMを含むロールが割り当てられている必要があります。

resourcemanager.projects.get
cloudasset.assets.searchAllIamPolicies

また、jqが必要なのでインストールしておく。

実行

./search-all-iam.sh

コメント

コメントを投稿

このブログの人気の投稿

BigQuery テーブルの有効期限を設定する

BigQueryのテーブルには有効期限が設定できます 設定の2種類あります テーブルの有効期限 テーブルが作成されてから有効期限が過ぎるとテーブル自体が削除される 例) 有効期限を2023-02-03 14:00:00に設定すると、2023-02-03 14:00:00 (UTC)にテーブル自体が削除される パーティションの有効期限 パーティションの有効期限が過ぎるとパーティションが削除される 例) 有効期限を86400秒(3日)に設定すると、2023-02-05にパーティションの2023-02-02以前が削除される ※ちなみに2023-02-05以降に2023-02-02以前のデータを入れた場合、即時削除されます テーブルの有効期限 bqコマンドでの設定 // 新規テーブルに有効期限を設定 (作成から3日後に削除される) bq mk --expiration 86400 dataset.table --schema schema.json // 既存テーブルに有効期限を設定 bq update --expiration 86400 dataset.table // 既存テーブルの有効期限を解除したい場合は0を指定 bq update --expiration 0 dataset.table Client Libraryでの設定(Python) // 新規テーブルに有効期限を設定 (2023-02-27 14:00:00に削除される) from google.cloud import bigquery from datetime import datetime client = bigquery.Client() bq update schema = [ bigquery.SchemaField("timestamp", "TIMESTAMP", mode="REQUIRED"), ] table_id = 'project_id.dataset.table' table = bigquery.Table(table_id, schema=schema) table.partitioning_type = 'DAY' table.expires ...
続きを読む

Chromebookの指紋認証を有効にする

イメージ
Chromebookには指紋認証のデバイスが付いてるモデルがあります 僕の使っているモデルにも付いています ASUS Chromebook Flip C436FA (C436FA-E10162) 「 Chromebook で指紋を設定してログインする 」を参考に、 設定→[セキュリティとプライバシー]で指紋認証の設定があるようなので確認してみると、それらしい項目がない。 組織のマークがあるのでGoogle Workspaceの設定によって項目が表示されていない様子 Google Workspaceの管理で、[デバイス]→[Chrome]→[設定]→[ユーザーとデバイス]を見てみると、 フィンガープリントという項目があったので、チェックを付けて保存 再度、設定→[セキュリティとプライバシー]を確認すると、指紋認証の項目が表示されたので、指紋を追加 これで指紋認証でログインが可能となりました
続きを読む

Cloud Schedulerは必ず実行されるわけではない

Cloud Schedulerは「ジョブターゲットへの配信を少なくとも1回は確実に実行します」という記述がある。 この文言からリトライの設定は不要と思いがちだが、サポートによればリソースが確保できずに、 実行されない事象があるとの事でした。 必ず1回実行したい場合は、リトライの設定をする事で限りなく「必ず」に近い実行状況になります。
続きを読む