如何確保 GCP 服務帳戶沒有管理員權限?
[英]How can I ensure that GCP service accounts do not have Admin privileges?
問題描述
我想確保 Google Cloud Platform 服務帳戶沒有管理員權限。
此外,我想阻止用戶創建具有管理員權限的服務帳戶,或向現有服務帳戶添加管理員權限。
您知道通過策略來確保這一點的方法嗎?
2 個解決方案
解決方案1
0 已采納 2020-11-13 23:02:41
您可以根據用戶需要執行的操作使用細化權限。
可以限制資源,甚至可以使用這些精細權限,您可以創建基於計算管理員的自定義角色,只需刪除遵循語法“..setIamPolicy”的所有權限。 IE
compute.instances.setIamPolicy
compute.licenses.setIamPolicy
compute.machineImages.setIamPolicy
compute.licenseCodes.setIamPolicy
這可以限制用戶設置 IAM 綁定,但一般來說,對於用戶而言是有限的,而不僅僅是服務帳戶。 僅用於 SA 是不可能的。
解決方案2
0 2020-11-14 21:30:56
創建可以在項目或組織級別完成的自定義角色。 為您創建的自定義角色添加權限。
此外, IAM 策略將允許您通過設置 IAM 策略來控制誰(用戶)對哪些資源具有什么(角色)權限。 (用戶帳戶或服務帳戶,具有角色)。 修改策略后授予所需的角色並調用 setIamPolicy() 進行更新。
我應該如何創建服務帳戶以使用 Google KMS 在 GCP 項目之間訪問機密?
[英]How should I create service accounts for accessing secrets between GCP projects with Google KMS?
如何使用 Terraform 將多個角色分配給 GCP 中的多個服務帳戶?
[英]How to assign multiple roles to multiple service accounts in GCP using Terraform?
如何獲取 GCP 服務帳戶 SignedJWT,以便我可以調用接受 GCP 身份驗證的第 3 方服務
[英]How to Get GCP Service Account SignedJWT so I can call a 3rd party service that accepts GCP auth
用於 SQL 實例 GCP 的 gcloud iam service-accounts list 命令
[英]gcloud iam service-accounts list command for SQL instance GCP
如何檢查 GCP 服務帳戶是否具有對 Google Drive 的完全訪問權限?
[英]How do I check to see if a GCP service account has full access to Google Drive?
如何允許用戶成為 Google Cloud Platform (GCP) 中服務帳戶的參與者?
[英]How can I allow a user to become an actor of a service account in Google Cloud Platform (GCP)?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何確保 GCP 啟動腳本使用正確的服務帳戶?
我應該如何創建服務帳戶以使用 Google KMS 在 GCP 項目之間訪問機密?
如何使用 Terraform 將多個角色分配給 GCP 中的多個服務帳戶?
GCP Terraform 服務帳戶密鑰導出
如何檢測 GCP 上的審計日志是否已停用?
如何獲取 GCP 服務帳戶 SignedJWT,以便我可以調用接受 GCP 身份驗證的第 3 方服務
用於 SQL 實例 GCP 的 gcloud iam service-accounts list 命令
如何檢查 GCP 服務帳戶是否具有對 Google Drive 的完全訪問權限?
如何在 GCP 中為 secret 賦予角色?
如何允許用戶成為 Google Cloud Platform (GCP) 中服務帳戶的參與者?
相關標簽