Google cloud platform 限制我们项目的G-Suite电子邮件/服务帐户，以便用户无法将其添加到其个人GCP项目中

我们基本上有一个用例，用户不能从我们的GCP项目中取出数据。因此，我们希望用户不能将我们提供的GCP凭据添加到他的个人GCP项目中。然后，将数据上传到他的个人项目中

那么，我们是否可以限制项目的G-Suite电子邮件和/或服务帐户，以便用户无法将其添加到其个人GCP项目中

谢谢

那么，我们是否可以限制我们的G-Suite电子邮件和/或服务 我们项目的帐户，因此用户无法将其添加到其帐户 个人GCP项目

答案不可能，也不适用于

数据盗窃

如果您的某个用户具有IAM角色的凭据以访问您的数据，则在删除这些权限之前，您无法阻止他访问该数据。他可以将数据下载到工作站，然后上传到其他地方

我认为你误解了IAM的用户。如果用户将其“工作”用户电子邮件地址添加到其个人谷歌云帐户，则不会授予他对您的帐户的额外访问权限。这仅仅意味着他可以使用一个凭证访问多个帐户。那个人不会从你的安全中获益或绕过你的安全。他可以通过云->云数据拷贝而不是下载/上传来加快速度。最终结果仍然是数据丢失/被盗

考虑到这是一个问题，打开并监视用户的行为。使用云函数分析日志并对与您有关的活动发出警报

通过单独的项目将数据分开。仅允许用户访问与其工作范围相关的数据。您可以实现许多技术。但是，如果你不信任某个员工，你就要处理另一个问题