こんにちは、京セラコミュニケーションシステム 石関 (@kccs_daisuke-ishizeki)です。
ある日 Google Cloud の IAM ポリシーに関する以下のような質問をいただきました。
会社のアカウントって Google Workspace で管理されているので、Google Cloud プロジェクトの IAM から削除されてもGoogleアカウント自体は存在していますが、Google アカウント自体が削除されたら連動してこの辺りの IAM も削除されるんでしょうか。
それとも存在しないユーザとして設定自体は残り続けるんでしょうか
🤔
経験則的に削除されていそうな気はするものの、正確な内容はわからないので、ドキュメントベースで調査 & 実験してみました。
この記事ではその内容を紹介します。
本記事は2023年8月ごろに作成しております。引用している内容は執筆時点での最新となります。
この記事の対象者
- Google アカウント削除時の IAM ポリシーへの影響を知りたい方
ドキュメントを確認してみる
まずは Google Cloud 公式ドキュメントを確認してみます。
関連しそうな箇所を抜粋しました。
ユーザー アカウントを既存の ID プロバイダと連携させると、ユーザー アカウントのステータスを同期できます。ID プロバイダからユーザー アカウントを削除すると、Cloud Identity のユーザー ID も削除されます。また、許可ポリシーにより、ユーザーは Google Cloud リソースにアクセスできなくなります。
ユーザーが組織を離れたときに、自動ユーザー プロビジョニングによって Cloud Identity または Google Workspace を ID プロバイダと連携している場合は、アクセス権の取り消しを自動的に行うことができます。
対象のユーザーアカウントはアクセスできなくなるとありますが、IAM ポリシー設定が削除されるのかイマイチはっきりしません。
参照したドキュメントはこちらです。
視点をちょっと変えて Google Workspace 公式ドキュメントを確認してみます。
紛らわしいページも Hit して多少混乱しましたが、別ページに以下の記載を見つけることができました。
Google Cloud - 削除されたユーザーは Cloud リソースにアクセスできなくなります。そのユーザーに対する Identity and Access Management(IAM)ポリシーの拘束力は、関連付けられたリソースで最長 30 日間継続します。ユーザーが Cloud 組織のメンバーでない場合、プロジェクトは孤立状態になります。
最長 30 日間 IAM ポリシーの拘束力が継続され、期間経過後は拘束力がなくなると記述されています。
明示的に削除されるとは記述されていませんが、『拘束力がなくなる = 対象の IAM ポリシーが削除される』と解釈しました。
参照したドキュメントはこちらです。
組織からユーザーを削除する - Google Workspace 管理者 ヘルプ
実験
ということで実験してみました。
- Google アカウントを作成して
- IAM ポリシーを設定して
- Google アカウントを削除する
- Google アカウント削除直後のプロジェクトの IAM です。
- IAM ポリシー自体は残っていますが、以下の変化がありました。
- 対象のプリンシパルに赤線部分の uid が表示されるようになった(一部マスクしています)
- タイプのカラムにあるアイコンに斜線が入り、ツールチップを表示すると「削除されたユーザー」となっていました
- 対象のプリンシパルに赤線部分の uid が表示されるようになった(一部マスクしています)
- IAM ポリシー自体は残っていますが、以下の変化がありました。
- 20 日経過
- 予想に反して 4 の状況のまま変化はありませんでした。Google アカウントは削除したあと 20 日経過後に完全削除されるためこのタイミングかなと思っていました。
- 予想に反して 4 の状況のまま変化はありませんでした。Google アカウントは削除したあと 20 日経過後に完全削除されるためこのタイミングかなと思っていました。
- 30 日経過
- 削除されました。この実験では最長の 30 日間 IAM ポリシーが継続しました。
- 削除されました。この実験では最長の 30 日間 IAM ポリシーが継続しました。
結論
Google アカウントが削除されたら、連動して一定期間経過後 IAM ポリシーも削除される。