Google cloud platform gmail用户项目的服务范围

我们的目标是限制GCS存储桶的子集供一系列IP地址使用

我们在一所大学的实验室里有几个GCP项目与一个普通的账单账户相关联，人们通常使用他们的gmail地址与GCP资源进行交互。我们认为，我们需要在我们的桶周围设置一个服务边界，使用

VPC服务控制似乎需要一个组织。创建一个组织似乎需要GSuite或云标识。这两个选项似乎都要求在特定域上设置帐户。我不想要求人们创建其他帐户，并迁移到使用它们

---

有没有办法让一群gmail用户实现一个服务边界？还是有其他方法可以限制GCS存储桶的IP地址？

我听到两件事。。。我听说通过请求者的源IP地址限制对GCS存储桶的访问，我听说通过用户身份（gmail地址）限制对GCS存储桶的访问。这是两个截然不同的故事

为了通过IP地址限制访问，我们可以使用VPC服务控制和访问级别

见：

---

为了用户的限制，也可以使用与上面相同的故事。然而，令我震惊的是，地面军事系统是基于资源的，因此受到IAM安全的保护。这意味着，也可以通过向单个用户或用户组分配权限来保护GCS资源。

我听到两件事。。。我听说通过请求者的源IP地址限制对GCS存储桶的访问，我听说通过用户身份（gmail地址）限制对GCS存储桶的访问。这是两个截然不同的故事

为了通过IP地址限制访问，我们可以使用VPC服务控制和访问级别

见：

为了用户的限制，也可以使用与上面相同的故事。然而，令我震惊的是，地面军事系统是基于资源的，因此受到IAM安全的保护。这意味着还可以通过向单个用户或用户组分配权限来保护GCS资源。

根据文档，您实际上可以通过向Google帐户电子邮件授予角色来授予对组织资源的访问权限

然而，为了证实这一点，我继续做了一些测试，我能够将我的gmail帐户添加到另一个组织域上的项目中，没有任何问题

此外，如文档中所述，您可以将这些用户添加到Google组，并使用它轻松管理他们的权限

将组添加到IAM部分时，您将添加组的电子邮件地址，因此域也将不同于组织域。这个过程非常简单，但我分享了一些截图，以防你需要帮助

结论：

因此，理想的解决方案仍然是使用具有访问级别的VPC服务控制，但还要使用IAM角色控制用户对特定资源的访问

实现此设置的步骤如下：

1-创建访问级别，如文档中所述

2-使用新的访问级别创建专有网络服务范围

3-在中向用户授予所需的IAM角色，如果您愿意，您可以在此处将角色授予Google组。

根据文档，您可以通过向Google帐户电子邮件授予角色来授予对组织资源的访问权限

然而，为了证实这一点，我继续做了一些测试，我能够将我的gmail帐户添加到另一个组织域上的项目中，没有任何问题

此外，如文档中所述，您可以将这些用户添加到Google组，并使用它轻松管理他们的权限

将组添加到IAM部分时，您将添加组的电子邮件地址，因此域也将不同于组织域。这个过程非常简单，但我分享了一些截图，以防你需要帮助

结论：

因此，理想的解决方案仍然是使用具有访问级别的VPC服务控制，但还要使用IAM角色控制用户对特定资源的访问

实现此设置的步骤如下：

1-创建访问级别，如文档中所述

2-使用新的访问级别创建专有网络服务范围

---

3-将所需的IAM角色授予中的用户，如果您愿意，您可以在此处将角色授予Google组。

要使用VPC服务控制（允许您通过IP地址限制对Google云存储桶的访问），您需要一个组织。为了管理该组织中项目的资源，任何谷歌身份（gmail、云身份、G套件）都是有效的。把两者结合起来，你就有了你的解决方案

要使用VPC服务控制（允许您通过IP地址限制对Google云存储桶的访问），您需要一个组织。为了管理该组织中项目的资源，任何谷歌身份（gmail、云身份、G套件）都是有效的。把两者结合起来，你就有了你的解决方案

角色已按每个项目设置，无需更改。向云身份的迁移似乎具有破坏性。我需要设置和支付一个域。此外，我还担心在我“将这些用户迁移到云身份帐户”时可能发生的任何麻烦或破坏。这是需要做的事情吗？我使用一个G套件域进行了测试，因此我无法确认使用免费云身份域也可以做到同样的事情。公平地说，我还发现，这表明旧政策应该保留在项目中。我建议你测试它，在“无组织”上创建一个测试项目，并向其中添加拥有gmail帐户的人，然后请求免费的服务