Fatal编程技术网
  • google-cloud-platform/
  • Google cloud platform 是不是;域限制共享“;在GCP中,是否阻止服务帐户获取IAM权限?

Google cloud platform 是不是;域限制共享“;在GCP中,是否阻止服务帐户获取IAM权限?

google-cloud-platform

Google cloud platform 是不是;域限制共享“;在GCP中,是否阻止服务帐户获取IAM权限?,google-cloud-platform,google-cloud-identity,Google Cloud Platform,Google Cloud Identity,如果我打开组织策略约束“域限制共享”(Domain Restricted Sharing),并将其设置为仅允许我的组织域foo.com,这会阻止大量平台服务帐户获得其IAM权限吗?例如,域@iam.gserviceaccount.com或@developer.gserviceaccount.com中的帐户。这些服务帐户将在各地进行设置和授予权限。我担心启用“域限制共享”会阻止这些帐户访问IAM 另一个问题是:“域限制共享”是否忽略了这些基于平台的服务帐户?如果没有,我觉得很难维护一个例外列表 一

如果我打开组织策略约束“域限制共享”(Domain Restricted Sharing),并将其设置为仅允许我的组织域
foo.com
,这会阻止大量平台服务帐户获得其IAM权限吗?例如,域
@iam.gserviceaccount.com
@developer.gserviceaccount.com
中的帐户。这些服务帐户将在各地进行设置和授予权限。我担心启用“域限制共享”会阻止这些帐户访问IAM

另一个问题是:“域限制共享”是否忽略了这些基于平台的服务帐户?如果没有,我觉得很难维护一个例外列表

一个更基本的问题是,“域限制共享”是否只适用于云身份/谷歌工作区帐户,因此在涉及服务帐户时不相关?

在这个回答中,我使用的术语是
谷歌云身份
意味着服务帐户、服务代理、,等等,这些都是由谷歌云创建的,而不是由其他谷歌服务(如Gmail)创建的

如果启用组织策略约束“域受限” 分享“

不会。策略约束不会影响谷歌云身份,如服务帐户。如果是这样,您的项目很快就会崩溃并失败

一个更基本的问题是“域限制共享”是否仅限于 适用于云标识/谷歌工作区帐户,因此不适用 当涉及到服务帐户时相关吗

域限制共享适用于所有非谷歌云身份,如谷歌工作区、云身份和Gmail风格的帐户。您可以将由Google Workspace管理/控制的域的成员定义为允许的(me@example.com)而不属于该域的身份(me@gmail.com)你被封锁了

目前,只支持由Google Workspace管理的域。云标识不支持指定允许的域,除非域名也是组织名称。(注意:我找不到这一说法的权威参考,这一点在将来可能会改变)。

在这个回答中,我使用的术语是
谷歌云身份
,意思是由谷歌云而不是其他谷歌服务(如Gmail)创建的服务账户、服务代理等身份

如果启用组织策略约束“域受限” 分享“

不会。策略约束不会影响谷歌云身份,如服务帐户。如果是这样,您的项目很快就会崩溃并失败

一个更基本的问题是“域限制共享”是否仅限于 适用于云标识/谷歌工作区帐户,因此不适用 当涉及到服务帐户时相关吗

域限制共享适用于所有非谷歌云身份,如谷歌工作区、云身份和Gmail风格的帐户。您可以将由Google Workspace管理/控制的域的成员定义为允许的(me@example.com)而不属于该域的身份(me@gmail.com)你被封锁了

目前,只支持由Google Workspace管理的域。云标识不支持指定允许的域,除非域名也是组织名称。(注:我找不到本声明的权威参考资料,将来可能会发生变化)