会社で利用しているGCPを個人のGoogleアカウントで利用するのはご法度です。
この記事ではそのような人を炙り出す方法を紹介します。
必要な権限
この操作を行うためにはOrganizationレベルでの Cloud Asset Viewer ロールが必要です。
手順
Organization IDの取得
最初に以下のコマンドを実行して、12桁の数字からなるGCPのOrganization IDを取得します。
$ gcloud organizations list
DISPLAY_NAME ID DIRECTORY_CUSTOMER_ID
hoge.com 123456789012 XXXXXXXXX
Cloud Asset Inventoryで調査
次にCloud Asset Inventoryの機能である、全てのIAM権限に対して検索する機能を使って調査を行います。
gcloud asset search-all-iam-policies --scope='organizations/<さっき取得したID>' --query='policy:gmail.com'
これでgmail.comでGCPを利用している全てのIAM権限がダンプされます。