如何授予 Gsuite 组或用户模拟所有 Google 服务帐户的权限

How do I give a Gsuite group or user access to impersonate all Google service accounts

这令人沮丧,因为模拟服务帐户的灵活性远低于 AWS。

我希望 Gsuite 组的用户能够模拟特定 google 项目或项目文件夹中的所有服务帐户

但我只看到您将 serviceAccountTokenCreator 角色直接分配给特定服务帐户的示例。

这很难管理。如果我的开发 gcp 项目中有 X 个服务帐户,我希望能够只说“X 组中的用户可以模拟项目 Y 中的所有服务帐户”。这是可能吗?或者我是否需要为每个服务帐户创建一个绑定,其中包含可以模拟 it.

的 groups/users 列表

要允许成员模拟在项目、文件夹或组织中创建的所有服务帐户,grant the necessary role 在项目、文件夹或组织中。 参考:https://cloud.google.com/iam/docs/impersonating-service-accounts#impersonate-parent-level