google-cloud-platform - 如何确保 GCP 服务帐号没有管理员权限?
问题描述
我想确保 Google Cloud Platform 服务帐号没有管理员权限。
此外,我想阻止用户创建具有管理员权限的服务帐户,或向现有服务帐户添加管理员权限。
您知道通过策略确保这一点的方法吗?
解决方案
您可以根据用户需要执行的操作来使用细化权限。
可以限制资源,甚至使用这些细粒度的权限,您可以创建基于计算管理员的自定义角色,并且只需删除遵循语法“ ..setIamPolicy”的所有权限。IE
compute.instances.setIamPolicy
compute.licenses.setIamPolicy
compute.machineImages.setIamPolicy
compute.licenseCodes.setIamPolicy
这可以限制用户设置 IAM 绑定,但一般来说它是有限的,对于用户,而不仅仅是服务帐户。仅用于 SA 是不可能的。
我建议您跟进 IAM最佳实践,这样您就可以更好地管理您的安全性,如果需要,您可以创建功能请求,以支持IAM 条件角色绑定。
推荐阅读
- f# - 如何在 F# 中编写带参数的委托?
- reactjs - SetInterval 导致将状态变量更新为反应中的默认值
- c - 在 C 程序中在一行中调用 system() 两次
- python - 有没有直接的方法来裁剪图像中背景区域应该透明的不规则尺寸/非矩形对象
- android - 我的 Android 应用无法在后台运行
- javascript - 如何在javascript中的任何条件下制作字符串搜索功能?
- apk - gomobile build,Paho mqtt 客户端无法连接到 APK 中的 mqtt 代理
- python - 通过使用 pandas 中的另一个数据框数据将过程应用于数据框的行
- xcode - socket.io-client-swift 包解析在 Xcode13 Beta 项目中失败
- pytorch - 数据集大小未知时的 Pytorch 数据集