1
Help us understand the problem. What are the problem?

More than 1 year has passed since last update.

posted at

updated at

Organization

GCPのProjectCreatorの権限を剥奪したら、サポート機能が使えなくなった

GCPのガバナンス強化のために、全社員からProjectCreator権限を剥奪し、一部の管理者のみがプロジェクトを作成するという運用に切り替えました。
その結果、一部のメンバーからサポートケースの閲覧や起票ができなくなったという報告を受けました。
本記事では、その調査方法や権限修正について報告します。

発生していた現象

メンバーがサポートケース起票画面を開いたところ、以下の画面が表示されました。
サポートに関する権限を持っていないというエラーが表示されています。

image.png

このメンバーにはロールベースサポートのProductionの権限を与えていたため、この現象は不可解でした。
https://cloud.google.com/support/docs/role-based-support#support_user_roles

また、この時点では関連があるかどうかは不明でしたが、本体ならOrganizationに紐付けられているはずのプロジェクトがNo organizationとして表示されていました。
貼り付けた画像_2020_12_13_17_26.png

調査

サポートケースを閲覧できないメンバーと閲覧できるメンバーがいたため、それらのメンバー間で権限が異なることを原因として疑いました。
そのため、Cloud Audit LogsでそれらのメンバーのAPI呼び出しを確認しました。
こんなこともあろうかと(?)監査ログを有効にしておくとトラブルシューティングに便利です。
https://cloud.google.com/logging/docs/audit

サポート機能はOrganizationに紐付いているため、Organizationの監査ログを確認します。
なお、Organizationの監査ログはOrganizationAdministratorAdmin権限だけでは閲覧不能で、SecurityAdmin権限が追加で必要です。

ログを確認した結果、サポートの利用にあたって、GetOrganizationとFindOrCreateOrganizationの2つのAPIが呼び出されていたことが分かりました。
閲覧できないメンバーはこれたのAPI呼び出しが失敗していたため、サポートの利用が不能になっていたようです。

↓サポートケースを閲覧できたメンバー

貼り付けた画像_2020_12_13_17_35.png

↓サポートケースを閲覧できなかったメンバー
貼り付けた画像_2020_12_13_17_39.png

Cloud Loggingで更に詳細なログエントリを確認してみました。
FindOrCreateOrganizationのAPI呼び出しをするためには、Organizationリソースに対して、resourcemanager.organizations.getの権限が必要でした。
※ ログの一部を省略・マスク化してます

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "status": {},
    "authenticationInfo": {
      "principalEmail": "XXXX@example.com"
    },
    "serviceName": "cloudresourcemanager.googleapis.com",
    "methodName": "FindOrCreateOrganization",
    "authorizationInfo": [
      {
        "resource": "organizations/12345678",
        "permission": "resourcemanager.organizations.get",
        "granted": true,
        "resourceAttributes": {}
      }
    ],
    "resourceName": "organizations/12345678",
    "request": {
      "@type": "type.googleapis.com/google.cloudresourcemanager.v1.FindOrCreateOrganizationRequest"
    }
  },
  "timestamp": "2020-12-10T02:54:25.701Z",
  "severity": "INFO",
  "logName": "organizations/485752873670/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2020-12-10T02:54:26.565738216Z"
}

GetOrganizationの呼び出しについても同様に確認したところ、こちらもresourcemanager.organizations.getの権限が必要でした。

実はこの問題が報告される少し前に、ProjectCreator権限を一部のメンバーだけしか付与しないという権限変更を行っていました。
ProjectCreatorによって付与されるpermissionにはresourcemanager.organizations.getが含まれており、これが剥奪されていたことがサポートを利用できない原因でした。

image.png

修正

さて、原因が分かったので、後は不足していた権限を付与すればOKです。
とはいえ、再度ProjectCreator権限を付与することはできないので、resourcemanager.organizations.getだけをピンポイントで付与できるロールはないものかと思い、ドキュメントを漁っていたら見つけました。
roles/
resourcemanager.organizationViewerです。

サポートを利用するメンバー1人1人に対してこの権限を付与して回るのは煩雑であるため、実際はG Suiteで管理されているドメイン全体に対してこの権限を付与しました。

まとめ

ProjectCreator権限を剥奪するときには、代わりにOrganizationViewer権限を付与しておかないとサポート機能が使えなくなります。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Sign upLogin
1
Help us understand the problem. What are the problem?