如何确保 GCP 服务帐户没有管理员权限?
[英]How can I ensure that GCP service accounts do not have Admin privileges?
问题描述
我想确保 Google Cloud Platform 服务帐户没有管理员权限。
此外,我想阻止用户创建具有管理员权限的服务帐户,或向现有服务帐户添加管理员权限。
您知道通过策略来确保这一点的方法吗?
2 个解决方案
解决方案1
0 已采纳 2020-11-13 23:02:41
您可以根据用户需要执行的操作使用细化权限。
可以限制资源,甚至可以使用这些精细权限,您可以创建基于计算管理员的自定义角色,只需删除遵循语法“..setIamPolicy”的所有权限。 IE
compute.instances.setIamPolicy
compute.licenses.setIamPolicy
compute.machineImages.setIamPolicy
compute.licenseCodes.setIamPolicy
这可以限制用户设置 IAM 绑定,但一般来说,对于用户而言是有限的,而不仅仅是服务帐户。 仅用于 SA 是不可能的。
解决方案2
0 2020-11-14 21:30:56
创建可以在项目或组织级别完成的自定义角色。 为您创建的自定义角色添加权限。
此外, IAM 策略将允许您通过设置 IAM 策略来控制谁(用户)对哪些资源具有什么(角色)权限。 (用户帐户或服务帐户,具有角色)。 修改策略后授予所需的角色并调用 setIamPolicy() 进行更新。
我应该如何创建服务帐户以使用 Google KMS 在 GCP 项目之间访问机密?
[英]How should I create service accounts for accessing secrets between GCP projects with Google KMS?
如何使用 Terraform 将多个角色分配给 GCP 中的多个服务帐户?
[英]How to assign multiple roles to multiple service accounts in GCP using Terraform?
如何获取 GCP 服务帐户 SignedJWT,以便我可以调用接受 GCP 身份验证的第 3 方服务
[英]How to Get GCP Service Account SignedJWT so I can call a 3rd party service that accepts GCP auth
用于 SQL 实例 GCP 的 gcloud iam service-accounts list 命令
[英]gcloud iam service-accounts list command for SQL instance GCP
如何检查 GCP 服务帐户是否具有对 Google Drive 的完全访问权限?
[英]How do I check to see if a GCP service account has full access to Google Drive?
如何允许用户成为 Google Cloud Platform (GCP) 中服务帐户的参与者?
[英]How can I allow a user to become an actor of a service account in Google Cloud Platform (GCP)?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何确保 GCP 启动脚本使用正确的服务帐户?
我应该如何创建服务帐户以使用 Google KMS 在 GCP 项目之间访问机密?
如何使用 Terraform 将多个角色分配给 GCP 中的多个服务帐户?
GCP Terraform 服务帐户密钥导出
如何检测 GCP 上的审计日志是否已停用?
如何获取 GCP 服务帐户 SignedJWT,以便我可以调用接受 GCP 身份验证的第 3 方服务
用于 SQL 实例 GCP 的 gcloud iam service-accounts list 命令
如何检查 GCP 服务帐户是否具有对 Google Drive 的完全访问权限?
如何在 GCP 中为 secret 赋予角色?
如何允许用户成为 Google Cloud Platform (GCP) 中服务帐户的参与者?
相关标签