緯育 2026-0613

本次系列講座聚焦雲端架構與權限治理的核心觀念與實作，系統性比較 Google Cloud Platform (GCP) 與 Amazon Web Services (AWS) 在身分與存取管理、網路架構（VPC、公私網段、路由/NAT/IAP/Peering）、儲存高可用（Persistent Disk）、計費與作業流程上的差異。課程以多階段實作貫穿：建立與測試 GCP VM/Service Account 權限、Cloud Storage/S3 的精準授權、VPC 與子網路設計（公網/私網）、NAT Gateway 讓私網安全出外網、IAP 零信任存取替代傳統跳板與RDP/SSH、跨專案 VPC 互聯與路由交換驗證，以及多網路卡（NIC）與DMZ隔離區的安全分層。

並延伸至多產品帳務分攤與標記（labels/tags）治理、AWS 多帳號與角色（Assume Role）設計、Identity Center集中化身分管理、Policy/Condition 的設計哲學差異，以及企業級共享型VPC與Organization層級政策的實務。講座亦以金融市場與產業動態做比喻，提醒上雲的不可逆後遺症、治理複雜度與成本現實，鼓勵以制度、SOP與精準權限設計化解風險。

1. 雲端平台部署與權限基礎（GCP vs AWS）

• 基本部署流程
  • 撰寫程式 → Docker 容器化（Dockerfile） → 推到Hub（如 Docker Hub） → 部署至雲端（GCP/AWS）。
  • GCP 需安裝 gcloud/gsutil 等工具；以 Service Account 為資源間授權主體。
• 服務間權限管理
  • GCP以 Service Account 賦權（如指派給 Compute Engine），AWS以 IAM Role 為核心，支援跨帳號 Assume Role。
  • GCP Default Service Account常具過大 Editor 權限，屬安全隱患；建議建立最小權限的新 Service Account，並於VM建立時指派。
  • 組織層可用 Organization Policy 強制新專案不自動生成 Default Service Account，降低誤用風險。
• 計費與運算模型
  • GCP計費細緻（核心數、秒級計費），早期即延伸至函式服務；AWS則多依產品維度與流量/授權費加總。

2. 儲存高可用與備份哲學

• GCP「地球機房」理念：天然高可用、全球擴散，設定生效可能有延遲。
• PD選項
  • Zonal PD：同Zone風險、可用快照備份。
  • Regional PD：區域內多機房自動冗餘，降低人工作業。
• 與AWS對比：AWS常需手動快照與還原、跨區備份操作繁瑣。

3. GCP 存取範圍（Access Scope）與安全

• VM的Access Scope三選項
  • Default：較安全的預設，會阻擋部分高風險權限。
  • Allow access to all cloud APIs：與所指派 Service Account 權限等同。
  • Set access for each API：逐項API開關，提供第二層限制。
• 實作：指派Service Account前需關機編輯；設定後以 gsutil ls 驗證授權效果。

4. 網路架構：VPC、公私網段、路由與零信任

• GCP vs AWS VPC差異
  • AWS：IGW→NACL→Route Table→Subnet→Security Group→VM；以路由表區分公私網段。
  • GCP：IGW→Route Table→Firewall→VM；無NACL層，公私網以「是否分配外部IP」區分，公私子網共用同區域路由表以簡化管理。
• 子網路規劃與全球擴散
  • GCP VPC不需最大CIDR，強調彈性擴容；指導在台灣區建立 public/private 子網，IP命名規則如 10.[座號].10.0/24。
• IAP 零信任與跳板替代
  • 以IAP前置身分驗證，安全導流至私網機器；不再需傳統暴露跳板機。
  • 防火牆案例：將0.0.0.0/0改為IAP來源段35.235.240.0/20，封阻未授權RDP/SSH。
• NAT Gateway與私網出站
  • 私網不可直出外網，需建 Cloud NAT 並調整路由；完成後驗證出站流量與K8s/私有資源可見性。
• 多NIC與DMZ隔離
  • 金融等嚴謹場景以DMZ隔離層放置中轉伺服器，多NIC分別連外/連內以分域管理與斷面控風險。
• 路由交換與VPC互聯
  • VPC Peering需CIDR不重疊，建立後檢視路由表自動新增規則並以ICMP驗證。
  • 共享型VPC（VPC Sharing）與Organization級網路治理可緩解多對多互聯帶來的拓撲混亂。

5. 身分與多帳號治理（AWS重點）

• 第一代IAM使用者 vs Identity Center
  • 傳統多iuser造成憑證分散與管理混亂；Identity Center集中單一身分跨多帳號/角色，體驗與控管更佳。
• 跨帳號角色設計
  • 在目標帳號建立role與信任策略，來源帳號使用者Assume該role進行操作，避免大量外部使用者帳號。
• 多產品成本分攤
  • 以labels/tags分帳，但需政策強制建立資源必填標記；或以獨立帳號達成賬務隔離與邊界清晰。

6. 精準授權：Cloud Storage 與 S3

• GCP：IAM權限＋Condition重用
  • 權限與條件拆離；以 IAM Conditions 限縮至特定資源（使用完整resource name format），提升權限重用性與維護性。
  • Cloud Shell/VM以指定Service Account測試：只能列出/操作被授權bucket，其他桶不可見。
• AWS：自訂IAM Policy
  • 以JSON指定 Action（ListBucket、GetObject、PutObject）與資源ARN（bucket與bucket/*），讓新人僅能操作單一桶。
  • 新需求常對應新Policy，長期導致Policy膨脹，管理成本高；建議以AI輔助產生政策、嚴格命名與文件化。

7. 安全實務與費用控管

• 防火牆優先順序與deny規則設計，縮小允許來源網段，備份異動記錄與審計。
• Windows Server雲端成本評估：計算資源、流量、OS授權費用疊加；定期檢視帳單與清理資源，避免持續計費。

8. 觀念、學習方法與專題要求

• 基本功：標記/帳務分攤、身分與跨帳號設計、網路拓撲圖、SOP與零信任。
• 畫架構圖理清關係（使用者/資源/權限/條件），以流程與驗證（ping/gsutil/CLI）確保設計正確。
• 專題報告：共同技術概念＋各成員獨立案例之具體成效；可加入權限互動環節與還原機制設計，展現治理能力。