google-cloud-platform - 防止 GCP 中的 IAM 升级
问题描述
我想创建一个 GCP 项目并向团队授予对特定 API/权限的访问权限。
但我希望他们是自治的:他们应该能够在我允许的范围内创建自己的服务帐户。
问题是,如果我授予他们 IAM 编辑权限,他们可以授予自己项目中的任何其他权限。
Kubernetes 的 RBAC API 就是为此而精心设计的,能够修改角色的用户不能提供比他拥有的权限更多的权限。
那么是否可以让例如具有 Cloud SQL 管理员角色的用户允许他向服务帐户授予类似的权限,但也可以阻止他授予 Cloud Storage 权限?
解决方案
可悲的是没有。无法防止“角色/权限升级”。如果某人是 IAM 管理员,他可以分配她想要的角色,甚至可以分配给他自己和更高级别的人,他们会隐藏当前权限。
但是,您有允许您对项目或组织进行限制的政策:允许的 API、允许的外部帐户、公共 IP...
推荐阅读
- featuretools - 特征工具中是否有用于交互的内置原语?
- docker - 使用 docker image 在 Heroku 上部署 Go App + Vue.js
- android - FirebaseFirestoreException:事务中读取的每个文档也必须写入
- java - 如何用不限制我的代码中元素位置的布局替换 LinearLayout?
- javascript - 如何解决 Owl-Carousel 循环问题?
- shopify - Shopify 购物车 - 总比较价格
- python - 在使用袖扣之前我需要有帐户吗?
- java - android客户端无法收到来自python服务器的响应
- php - 从一个类获取值到另一个类 - php
- python - pandas.Series.unique() 在分析字符串时给 np.unique() 不同的结果