檢視緯育 2026-0613 的原始碼

本次系列講座聚焦雲端架構與權限治理的核心觀念與實作，系統性比較 Google Cloud Platform (GCP) 與 Amazon Web Services (AWS) 在身分與存取管理、網路架構（VPC、公私網段、路由/NAT/IAP/Peering）、儲存高可用（Persistent Disk）、計費與作業流程上的差異。課程以多階段實作貫穿：建立與測試 GCP VM/Service Account 權限、Cloud Storage/S3 的精準授權、VPC 與子網路設計（公網/私網）、NAT Gateway 讓私網安全出外網、IAP 零信任存取替代傳統跳板與RDP/SSH、跨專案 VPC 互聯與路由交換驗證，以及多網路卡（NIC）與DMZ隔離區的安全分層。<br><br>

並延伸至多產品帳務分攤與標記（labels/tags）治理、AWS 多帳號與角色（Assume Role）設計、Identity Center集中化身分管理、Policy/Condition 的設計哲學差異，以及企業級共享型VPC與Organization層級政策的實務。講座亦以金融市場與產業動態做比喻，提醒上雲的不可逆後遺症、治理複雜度與成本現實，鼓勵以制度、SOP與精準權限設計化解風險。<br><br>

1. 雲端平台部署與權限基礎（GCP vs AWS）
* 基本部署流程
** 撰寫程式 → Docker 容器化（Dockerfile） → 推到Hub（如 Docker Hub） → 部署至雲端（GCP/AWS）。
** GCP 需安裝 gcloud/gsutil 等工具；以 Service Account 為資源間授權主體。
* 服務間權限管理
** GCP以 Service Account 賦權（如指派給 Compute Engine），AWS以 IAM Role 為核心，支援跨帳號 Assume Role。
** GCP Default Service Account常具過大 Editor 權限，屬安全隱患；建議建立最小權限的新 Service Account，並於VM建立時指派。
** 組織層可用 Organization Policy 強制新專案不自動生成 Default Service Account，降低誤用風險。
* 計費與運算模型
** GCP計費細緻（核心數、秒級計費），早期即延伸至函式服務；AWS則多依產品維度與流量/授權費加總。
2. 儲存高可用與備份哲學
* GCP「地球機房」理念：天然高可用、全球擴散，設定生效可能有延遲。
* PD選項
** Zonal PD：同Zone風險、可用快照備份。
** Regional PD：區域內多機房自動冗餘，降低人工作業。
* 與AWS對比：AWS常需手動快照與還原、跨區備份操作繁瑣。
3. GCP 存取範圍（Access Scope）與安全
* VM的Access Scope三選項
** Default：較安全的預設，會阻擋部分高風險權限。
** Allow access to all cloud APIs：與所指派 Service Account 權限等同。
** Set access for each API：逐項API開關，提供第二層限制。
* 實作：指派Service Account前需關機編輯；設定後以 gsutil ls 驗證授權效果。
4. 網路架構：VPC、公私網段、路由與零信任
* GCP vs AWS VPC差異
** AWS：IGW→NACL→Route Table→Subnet→Security Group→VM；以路由表區分公私網段。
** GCP：IGW→Route Table→Firewall→VM；無NACL層，公私網以「是否分配外部IP」區分，公私子網共用同區域路由表以簡化管理。
* 子網路規劃與全球擴散
** GCP VPC不需最大CIDR，強調彈性擴容；指導在台灣區建立 public/private 子網，IP命名規則如 10.[座號].10.0/24。
* IAP 零信任與跳板替代
** 以IAP前置身分驗證，安全導流至私網機器；不再需傳統暴露跳板機。
** 防火牆案例：將0.0.0.0/0改為IAP來源段35.235.240.0/20，封阻未授權RDP/SSH。
* NAT Gateway與私網出站
** 私網不可直出外網，需建 Cloud NAT 並調整路由；完成後驗證出站流量與K8s/私有資源可見性。
* 多NIC與DMZ隔離
** 金融等嚴謹場景以DMZ隔離層放置中轉伺服器，多NIC分別連外/連內以分域管理與斷面控風險。
* 路由交換與VPC互聯
** VPC Peering需CIDR不重疊，建立後檢視路由表自動新增規則並以ICMP驗證。
** 共享型VPC（VPC Sharing）與Organization級網路治理可緩解多對多互聯帶來的拓撲混亂。
5. 身分與多帳號治理（AWS重點）
* 第一代IAM使用者 vs Identity Center
** 傳統多iuser造成憑證分散與管理混亂；Identity Center集中單一身分跨多帳號/角色，體驗與控管更佳。
* 跨帳號角色設計
** 在目標帳號建立role與信任策略，來源帳號使用者Assume該role進行操作，避免大量外部使用者帳號。
* 多產品成本分攤
** 以labels/tags分帳，但需政策強制建立資源必填標記；或以獨立帳號達成賬務隔離與邊界清晰。
6. 精準授權：Cloud Storage 與 S3
* GCP：IAM權限＋Condition重用
** 權限與條件拆離；以 IAM Conditions 限縮至特定資源（使用完整resource name format），提升權限重用性與維護性。
** Cloud Shell/VM以指定Service Account測試：只能列出/操作被授權bucket，其他桶不可見。
* AWS：自訂IAM Policy
** 以JSON指定 Action（ListBucket、GetObject、PutObject）與資源ARN（bucket與bucket/*），讓新人僅能操作單一桶。
** 新需求常對應新Policy，長期導致Policy膨脹，管理成本高；建議以AI輔助產生政策、嚴格命名與文件化。
7. 安全實務與費用控管
* 防火牆優先順序與deny規則設計，縮小允許來源網段，備份異動記錄與審計。
* Windows Server雲端成本評估：計算資源、流量、OS授權費用疊加；定期檢視帳單與清理資源，避免持續計費。
8. 觀念、學習方法與專題要求
* 基本功：標記/帳務分攤、身分與跨帳號設計、網路拓撲圖、SOP與零信任。
* 畫架構圖理清關係（使用者/資源/權限/條件），以流程與驗證（ping/gsutil/CLI）確保設計正確。
* 專題報告：共同技術概念＋各成員獨立案例之具體成效；可加入權限互動環節與還原機制設計，展現治理能力。
[[檔案:2026-0613-01.png|800px]]