如何确保 GCP 服务帐户没有管理员权限?
How can I ensure that GCP service accounts do not have Admin privileges?
我想确保 Google Cloud Platform 服务帐户没有管理员权限。
此外,我想阻止用户创建具有管理员权限的服务帐户,或向现有服务帐户添加管理员权限。
您知道通过策略确保这一点的方法吗?
您可以根据 what users needs to do 使用精细权限。
可以限制资源,甚至可以使用这些精细权限,您可以创建基于计算管理员的自定义角色,只需删除遵循语法“.[=22=”的所有权限].setIamPolicy”。即
compute.instances.setIamPolicy
compute.licenses.setIamPolicy
compute.machineImages.setIamPolicy
compute.licenseCodes.setIamPolicy
这可以限制用户设置IAM绑定,但一般来说是有限的,对用户而言,不仅仅是服务账户。仅用于 SA 是不可能的。
我建议您跟进 IAM best practices, so you can better manage your security, if needed, you can create feature request, to support IAM conditions 角色绑定。
Create a custom role 这可以在项目或组织级别完成。为您创建的自定义角色添加权限。
此外,IAM policies 将允许您通过设置 IAM 策略来控制谁(用户)对哪些资源拥有什么(角色)权限。 (用户帐户或服务帐户,具有角色)。
修改策略后授予所需的角色并调用 setIamPolicy() 进行更新。
我想确保 Google Cloud Platform 服务帐户没有管理员权限。
此外,我想阻止用户创建具有管理员权限的服务帐户,或向现有服务帐户添加管理员权限。
您知道通过策略确保这一点的方法吗?
您可以根据 what users needs to do 使用精细权限。
可以限制资源,甚至可以使用这些精细权限,您可以创建基于计算管理员的自定义角色,只需删除遵循语法“.[=22=”的所有权限].setIamPolicy”。即
compute.instances.setIamPolicy
compute.licenses.setIamPolicy
compute.machineImages.setIamPolicy
compute.licenseCodes.setIamPolicy
这可以限制用户设置IAM绑定,但一般来说是有限的,对用户而言,不仅仅是服务账户。仅用于 SA 是不可能的。
我建议您跟进 IAM best practices, so you can better manage your security, if needed, you can create feature request, to support IAM conditions 角色绑定。
Create a custom role 这可以在项目或组织级别完成。为您创建的自定义角色添加权限。
此外,IAM policies 将允许您通过设置 IAM 策略来控制谁(用户)对哪些资源拥有什么(角色)权限。 (用户帐户或服务帐户,具有角色)。 修改策略后授予所需的角色并调用 setIamPolicy() 进行更新。