Complessità IAM su larga scala
GCP IAM si estende a livello di organizzazione, cartella, progetto e risorsa — i binding eccessivamente permissivi concessi a livello org si propagano silenziosamente a ogni risorsa figlio. Verifichiamo i binding IAM con Policy Analyzer, imponiamo il principio del minimo privilegio tramite org-policy constraint e utilizziamo Workload Identity per l'autenticazione a livello di pod invece dei file di chiave del service account.