google-cloud-platform - 谷歌云平台在“无组织”下列出项目,但不正确
问题描述
GCP 项目似乎与某个组织相关联,尽管 Google 的 Cloud Console 声称并非如此。这为外部公司提供了完全访问后门。
我们如何保护我们的项目并验证只有我们自己的用户可以访问它?
我们的软件平台是由一家基于 Google Cloud Platform 和 Firebase 的外部公司开发的,我们已经控制了该平台,我们将成为维护它的人。
我们的软件平台由三个 GCP 项目组成,出于安全原因,我们已从外部公司删除了所有用户的访问权限,因此只有我们自己的用户才能访问我们的资源。
然而,来自外部公司的一位开发人员提到,这三个项目都与他们在 GCP 中的组织相关联,并且即使他没有在任何地方列出,他也可以完全访问我们的所有项目。
当我从 Google 的 Cloud Console 中查看我们的三个 GCP 项目时,它说它们属于“无组织”。
我让他测试一下,因为这对我来说似乎很可疑,但他现在确认他已经测试过了,并且他确实拥有查看我们的 Firebase 资源的完全访问权限,例如 - 包括生产用户数据等。
如何确保有权访问我们 GCP 项目的唯一用户是我们自己的用户。如果这个组织后门确实存在,我是唯一一个认为这是一个公然的安全漏洞的人吗?我的意思是我们有一家外部公司可以完全访问我们的资源,而且它似乎没有出现在任何地方,事实上它声称事实恰恰相反。
我们需要我们的 GCP 项目安全地由我们自己控制,我们如何实现这一点?
解决方案
推荐阅读
- python-3.x - FileNotFoundError:pygame 中没有这样的文件或目录
- c# - .Net Core CSharp 自定义 Json 反序列化
- sqlalchemy - 在 SQLAlchemy ORM 中将joinedload结果加载为标量列表
- node.js - 如何避免 HighlevelProducer rdkafka 中的数据丢失
- javascript - 隐藏重复组件的特定实例
- c++ - 如何使用 mingw-w64 调试大型可执行文件
- cypress - 无法使用(sypress 框架)单击与另一个元素重叠的元素
- ios - 从托管视图控制器委托 SwiftUI 视图
- java - 忽略spring boot api requestbody中的空字段
- python - Python无法解码字节字符串