GCP 中的 "Domain Restricted Sharing" 是否会阻止服务帐户获取 IAM 权限?
Does "Domain Restricted Sharing" in GCP prevent service accounts from getting IAM permissions?
如果我打开组织策略约束“域限制共享”(doc) 并将其设置为仅允许我的组织域 foo.com,这是否会阻止大量平台服务帐户获得他们的 IAM 权限?例如,域 @iam.gserviceaccount.com 或 @developer.gserviceaccount.com 中的帐户。这些服务帐户在所有地方都得到配置和授予权限。我担心启用“域限制共享”会阻止这些帐户访问 IAM。
另一种提问方式是:“域限制共享”忽略这类基于平台的服务帐户吗?如果没有,我觉得很难维护一个例外列表。
一个更基本的问题 - “域限制共享”是否仅适用于 Cloud Identity / Google Workspace 帐户,因此与服务帐户无关?
在这个回答中,我使用的术语 Google Cloud Identities 表示由 Google Cloud 而不是其他 Google 服务创建的服务帐户、服务代理等身份例如 Gmail。
If turn on the Organization Policy constraint "Domain Restricted
Sharing" ...
没有。策略约束不会影响 Google 云身份,例如服务帐户。如果是这样的话,你的项目很快就会崩溃和失败。
A more fundamental question - does "Domain Restricted Sharing" only
apply to Cloud Identity / Google Workspace accounts, and is hence not
relevant when it comes to service accounts?
域限制共享适用于所有非 Google Cloud Identities,例如 Google Workspace、Cloud Identity 和 Gmail 样式帐户。您可以通过 Google Workspace 将域 managed/controlled 的成员定义为允许 (me@example.com),而不属于该域 (me@gmail.com) 的身份是允许的已屏蔽。
目前,仅支持 Google Workspace 管理的域。 Cloud Identity 不支持指定允许的域,除非域名也是组织名称。 (注:我找不到这个说法的权威参考,以后可能会有变化)
我测试了 John 的第二个理论,策略值只接受 GWS id。因此,我认为即使云身份名称与组织名称匹配,也无法添加非 GWS 云身份。
如果我打开组织策略约束“域限制共享”(doc) 并将其设置为仅允许我的组织域 foo.com,这是否会阻止大量平台服务帐户获得他们的 IAM 权限?例如,域 @iam.gserviceaccount.com 或 @developer.gserviceaccount.com 中的帐户。这些服务帐户在所有地方都得到配置和授予权限。我担心启用“域限制共享”会阻止这些帐户访问 IAM。
另一种提问方式是:“域限制共享”忽略这类基于平台的服务帐户吗?如果没有,我觉得很难维护一个例外列表。
一个更基本的问题 - “域限制共享”是否仅适用于 Cloud Identity / Google Workspace 帐户,因此与服务帐户无关?
在这个回答中,我使用的术语 Google Cloud Identities 表示由 Google Cloud 而不是其他 Google 服务创建的服务帐户、服务代理等身份例如 Gmail。
If turn on the Organization Policy constraint "Domain Restricted Sharing" ...
没有。策略约束不会影响 Google 云身份,例如服务帐户。如果是这样的话,你的项目很快就会崩溃和失败。
A more fundamental question - does "Domain Restricted Sharing" only apply to Cloud Identity / Google Workspace accounts, and is hence not relevant when it comes to service accounts?
域限制共享适用于所有非 Google Cloud Identities,例如 Google Workspace、Cloud Identity 和 Gmail 样式帐户。您可以通过 Google Workspace 将域 managed/controlled 的成员定义为允许 (me@example.com),而不属于该域 (me@gmail.com) 的身份是允许的已屏蔽。
目前,仅支持 Google Workspace 管理的域。 Cloud Identity 不支持指定允许的域,除非域名也是组织名称。 (注:我找不到这个说法的权威参考,以后可能会有变化)
我测试了 John 的第二个理论,策略值只接受 GWS id。因此,我认为即使云身份名称与组织名称匹配,也无法添加非 GWS 云身份。