GCEのアクセススコープ
概要
GCE VMにだけあるapiアクセス制御するための特別な概念
アクセススコープはサービスアカウントや IAM の仕組みが今ほど洗練されていなかった頃の名残でもある
GCPのサービスアカウントとは別物
アクセススコープは、サービスアカウントの権限に「フタをする」ような挙動をする
VMにアタッチされているSAに権限があったとしても、アクセススコープで許可されていないとそもそも該当操作のapiにリクエストが到達しないので操作できない状態になっている
VM のアクセススコープを変更するには一度 VM を停止する必要がある
VMのリスク
サービスアカウントの権限とアクセススコープの範囲によっては、意図しないセキュリティホールが生まれる可能性がある。
例えば、悪意を持った第三者が仮想マシンから新たな仮想マシンを生成しマイニングを行うなど
/icons/hr.icon