[英]How can I ensure that GCP service accounts do not have Admin privileges?
我想确保 Google Cloud Platform 服务帐户没有管理员权限。
此外,我想阻止用户创建具有管理员权限的服务帐户,或向现有服务帐户添加管理员权限。
您知道通过策略来确保这一点的方法吗?
您可以根据用户需要执行的操作使用细化权限。
可以限制资源,甚至可以使用这些精细权限,您可以创建基于计算管理员的自定义角色,只需删除遵循语法“..setIamPolicy”的所有权限。 IE
compute.instances.setIamPolicy
compute.licenses.setIamPolicy
compute.machineImages.setIamPolicy
compute.licenseCodes.setIamPolicy
这可以限制用户设置 IAM 绑定,但一般来说,对于用户而言是有限的,而不仅仅是服务帐户。 仅用于 SA 是不可能的。
创建可以在项目或组织级别完成的自定义角色。 为您创建的自定义角色添加权限。
此外, IAM 策略将允许您通过设置 IAM 策略来控制谁(用户)对哪些资源具有什么(角色)权限。 (用户帐户或服务帐户,具有角色)。 修改策略后授予所需的角色并调用 setIamPolicy() 进行更新。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.