GCP 中的 BillingAccountUser 角色问题
Issue with BillingAccountUser role in GCP
在深入学习 GCP 计费时,我有一个 GCP 计费场景,我无法理解如何解决这个问题,所以请澄清。
我有一个用户 (admin_user) 创建了一个结算帐户。此管理员用户添加了另一个用户 (normal_user),该用户具有该结算帐户的 BillingAccountUser 角色。
现在这个 normal_user 创建了他自己的项目并产生了一些 ML 工作负载,到月底会增加一笔巨额账单(暂时搁置警报),并且计费帐户会收到显而易见的发票。现在 admin_user 看不到 normal_user 的项目,因为他是该项目的唯一所有者。如果 normal_user 离开公司,没有人可以访问他创建并生成账单的项目,并且大概账单报告可能无法显示工作量详细信息和下钻对于那个项目。
那么在分配 BillingAccountUser 角色时如何安全地 avoid/prevent 这种情况?允许 normal_user 仅将组织项目添加到此计费帐户的任何方式,他不应有权在组织中创建项目但管理该项目以将其添加到计费帐户,但他可以创建自己的项目并在实际上无法将它们添加到此结算帐户的情况下进行尝试?
如果您授予用户结算帐户用户并且该用户也有Project Creator,那么该用户将能够附加计费帐户到新项目。
要防止用户能够将结算帐户附加到项目,请改为授予用户 结算帐户查看者。
只有受信任的 用户才能以任何形式访问结算帐户。
Any way to allow normal_user to add only organization projects to this
billing account where he should not have right to create a project in
the organization but manage that to add to the billing account, yet he
can create his own projects and play around without actually not able
to add them to this billing account?
没有。计费帐户不是项目或组织的一部分。它们是单独的帐户并独立管理。计费帐户 linked 到项目 - 它们不受项目管理或控制。如果您拥有正确的权限,您可以 link 将任何项目添加到结算帐户。
通常,像这样的限制是约束的一部分。但是,Google Cloud 尚未对计费帐户提供限制。
Organization policy constraints
如果用户创建了个人帐户并将其 link 编辑到企业帐单帐户,这将是对公司资产的滥用。我建议只有公司的某些 officers/managers 可以访问计费帐户。其他所有人都应填写表格或类似表格,并请求将项目link编入结算帐户。
可以提高计费帐户安全性的一项是仅添加您控制的用户帐户。如果用户对帐户管理不当,您可以控制他的身份(公司电子邮件地址)。如果您使用 Gmail 帐户,则没有该功能。
在深入学习 GCP 计费时,我有一个 GCP 计费场景,我无法理解如何解决这个问题,所以请澄清。
我有一个用户 (admin_user) 创建了一个结算帐户。此管理员用户添加了另一个用户 (normal_user),该用户具有该结算帐户的 BillingAccountUser 角色。
现在这个 normal_user 创建了他自己的项目并产生了一些 ML 工作负载,到月底会增加一笔巨额账单(暂时搁置警报),并且计费帐户会收到显而易见的发票。现在 admin_user 看不到 normal_user 的项目,因为他是该项目的唯一所有者。如果 normal_user 离开公司,没有人可以访问他创建并生成账单的项目,并且大概账单报告可能无法显示工作量详细信息和下钻对于那个项目。
那么在分配 BillingAccountUser 角色时如何安全地 avoid/prevent 这种情况?允许 normal_user 仅将组织项目添加到此计费帐户的任何方式,他不应有权在组织中创建项目但管理该项目以将其添加到计费帐户,但他可以创建自己的项目并在实际上无法将它们添加到此结算帐户的情况下进行尝试?
如果您授予用户结算帐户用户并且该用户也有Project Creator,那么该用户将能够附加计费帐户到新项目。
要防止用户能够将结算帐户附加到项目,请改为授予用户 结算帐户查看者。
只有受信任的 用户才能以任何形式访问结算帐户。
Any way to allow normal_user to add only organization projects to this billing account where he should not have right to create a project in the organization but manage that to add to the billing account, yet he can create his own projects and play around without actually not able to add them to this billing account?
没有。计费帐户不是项目或组织的一部分。它们是单独的帐户并独立管理。计费帐户 linked 到项目 - 它们不受项目管理或控制。如果您拥有正确的权限,您可以 link 将任何项目添加到结算帐户。
通常,像这样的限制是约束的一部分。但是,Google Cloud 尚未对计费帐户提供限制。
Organization policy constraints
如果用户创建了个人帐户并将其 link 编辑到企业帐单帐户,这将是对公司资产的滥用。我建议只有公司的某些 officers/managers 可以访问计费帐户。其他所有人都应填写表格或类似表格,并请求将项目link编入结算帐户。
可以提高计费帐户安全性的一项是仅添加您控制的用户帐户。如果用户对帐户管理不当,您可以控制他的身份(公司电子邮件地址)。如果您使用 Gmail 帐户,则没有该功能。