允許 GCloud 服務帳號訪問特定用戶的 G Suite 帳號嗎?
[英]Allow GCloud service account to access specific user's G Suite account?
問題描述
我們有一個用例,我們需要允許服務帳戶訪問特定用戶的 G Suite 帳戶,而不是任何其他用戶的帳戶。 我們的第一種方法是域范圍的委派,但這當然過於寬泛——它僅通過更改模擬目標就可以全權訪問所有用戶帳戶,從安全角度來看這是不可接受的。 而且,因為這是一個服務器到服務器的操作,上面沒有任何 UI,所以手動授權流程是 Right Out™ - 這必須完全從 G Suite 管理面板/GCloud 或通過登錄主 G Suite 中某處的用戶。
有什么辦法可以做到這一點? 期望的最終結果是服務帳戶能夠模擬一個用戶,但嘗試與任何其他用戶一起這樣做會產生權限沖突。
1 個解決方案
解決方案1
1 2021-01-22 16:12:07
您可以將服務帳戶視為身份。 所以你在這個身份上有一個 email。
因此,您有 2 種方式訪問目標用戶:
- 當然,您可以通過域范圍的委托授予整個用戶訪問權限,這太危險了
- 或者,目標用戶可以將服務帳戶 email 添加為不同事物(日歷、文檔、驅動器...)的所有者
您還可以使用具有域范圍委派的另一個服務帳戶執行此權限授予。
如果總結一下,沒有什么奧秘:
- 要么你是超級管理員
- 或者您被用戶授權代表他們執行操作
如何使用 Google 服務帳戶和 Google API 根據其用戶 ID 驗證 G-Suite 用戶的密碼
[英]How to use Google Service Account and Google API to validate G-Suite User's Password against its user ID
(gcloud.container.clusters.create)ResponseError:代碼= 400,消息=用戶無權訪問服務帳戶“默認”
[英](gcloud.container.clusters.create) ResponseError: code=400, message=The user does not have access to service account “default”
gcloud auth activate-service-account需要訪問.ssh文件夾?
[英]gcloud auth activate-service-account needs access to .ssh folder?
GCP 使用 gcloud auth(不是服務帳戶)以最終用戶身份進行身份驗證
[英]GCP Authenticate as End User using gcloud auth (not service account)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何限制 G Suite 中的服務帳戶訪問權限?
gcloud:用戶無權訪問服務帳戶“默認”
如何使用 Google 服務帳戶和 Google API 根據其用戶 ID 驗證 G-Suite 用戶的密碼
Gcloud:使用服務帳戶進行身份驗證
使用服務帳戶訪問G Suite Admin SDK
(gcloud.container.clusters.create)ResponseError:代碼= 400,消息=用戶無權訪問服務帳戶“默認”
為 gcloud 服務帳號分配范圍
從GCloud激活服務帳戶
gcloud auth activate-service-account需要訪問.ssh文件夾?
GCP 使用 gcloud auth(不是服務帳戶)以最終用戶身份進行身份驗證
相關標簽