最后更新2022/02/02

gcp如果粗略参考着安全相关的内容，可以这么划分边界：

• google负责和管理基础设施安全
• 用户负责自身数据安全
• google为你提供各种最佳实践、模板、产品和解决方案

再进一步说，可以再详细切分一下：
图中黄色部分由google负责，篮色部分由用户负责，这算是个分工界面定义吧，最左侧，全是篮色，那就是传统的方案：用户自己全管，自己建数据中心、采购设备等等。右侧则依次根据用户使用gcp的程度，有不同的分工界面。当然，google不会忘记自我吹捧一下：由于哥的规模太大了，远超你们普通用户自己芝麻绿豆大的数据中心，所以我可以达到最高水准的安全，如果你们自己负担，可能是花不起这个钱的，但哥有的是钱！既要最好，不怕最贵。而且，只要你用了哥的gcp，直接就享受到这最*的安全保证，哪怕你只租一粒芝麻大的虚机，这便宜你占大了！

当然，尽管安全，哥也不能啥都帮你做，有些事还得你自己亲历亲为，但哥给你准备好了各种工具，例如IAM（identity access management），可以帮你快速部署并在特定层面实现你的安全要求。

万事安全第一，动手之前先讲安全（授权）

安全与资源分层有关，前面介绍过google的资源分为：

• organize node组织节点，通常来说一个公司就是一个组织节点，它应该覆盖公司的所有资源，如果不考虑对外服务，那么把所有资源封闭在一起，对外面（互联网）不可见也是可能的；
• folders直译是抽屉、打包，对应的可能可以算是一个机构吧，就是能或者需要独立实现某些功能。同时，folder还能层级包容，就是一个floder下面包含几个floder。这样赋予某个floder的（安全）特性，就可以传递给下属folder；
• projects项目，这个有点阶段性、局部性的意味，但应该还是一个完整的功能整体；
• resources资源，这是具体资源了，脱离了相关性，单以IT视角查看，例如vm，storage等等；

有了以上分层，就可以制定安全策略了，指派策略的颗粒度就可以最小为单一resource，最大为organize node，并且可以向下继承。

从计量角度看，GCP的服务以project为单位进行统计，包括：

• 跟踪资源分配和使用情况
• 计费
• 管理必保或预留资源分配
• 提供开启的服务或API

任何用户获得的资源一定属于某个GCP console project，控制资源使用、计费等等都是以project进行划分和统计，每个project可以有不同的所有者及用户（当然相同也没问题）。google提供了多种方案帮助你管理project，甚至可以通过API编程管理，例如：

• 显示归属一个账号下的所有项目
• 创建新项目
• 修改项目
• 删除项目
• 撤销删除、恢复被删除的项目（不知垃圾箱保留多久？）

编程访问方式包括RPC API或者REST API