GCEのアクセススコープ

概要

GCE VMにだけあるapiアクセス制御するための特別な概念

アクセススコープはサービスアカウントや IAM の仕組みが今ほど洗練されていなかった頃の名残でもある

GCPのサービスアカウントとは別物

アクセススコープは、サービスアカウントの権限に「フタをする」ような挙動をする

VMにアタッチされているSAに権限があったとしても、アクセススコープで許可されていないとそもそも該当操作のapiにリクエストが到達しないので操作できない状態になっている

VM のアクセススコープを変更するには一度 VM を停止する必要がある

VMのリスク

サービスアカウントの権限とアクセススコープの範囲によっては、意図しないセキュリティホールが生まれる可能性がある。

例えば、悪意を持った第三者が仮想マシンから新たな仮想マシンを生成しマイニングを行うなど

/icons/hr.icon