GCP中的“域限制共享”是否阻止服务帐户获得IAM权限?
如果我打开组织策略约束“域限制共享”(文档)并将其设置为只允许我的组织域foo.com,这会阻止大量平台服务帐户获得其IAM权限吗?例如,域@iam.gserviceaccount.com或@developer.gserviceaccount.com中的帐户。这些服务帐户在各地都会得到配置和授予权限。我担心的是,启用“域限制共享”将阻止这些帐户拥有IAM访问权限。
另一种问这个问题的方法是:“域限制共享”是否忽略了这些基于平台的服务帐户?如果没有,我觉得很难保持一个例外的列表。
一个更基本的问题--“域限制共享”是否只适用于云标识/ Google帐户,因此在服务帐户方面不相关?
回答 2
Stack Overflow用户
发布于 2021-01-10 23:46:40
在这个答案中,我使用了术语Google Cloud Identities,意思是由Google创建的诸如服务帐户、服务代理等的标识,而不是由其他谷歌服务(如Gmail )创建的标识。
如果打开组织策略约束“域限制共享”.
不是的。策略约束不会影响Google标识,例如服务帐户。如果是这样的话,您的项目将很快崩溃和失败。
一个更基本的问题--“域限制共享”是否只适用于云标识/ Google帐户,因此在服务帐户方面不相关?
域限制共享适用于所有非谷歌云身份,如谷歌工作区,云标识和Gmail风格的帐户。您可以将由Google管理/控制的域的成员定义为允许(me@example.com),而不属于该域(me@gmail.com)的标识被阻止。
此时,只支持由管理的域。除非域名也是组织名称,否则不支持云标识来指定允许的域。(注:我找不到这份声明的权威参考资料,今后可能会有所改变)。
Stack Overflow用户
发布于 2022-03-24 08:29:16
我测试了John的第二个理论,策略值只接受GWS id。因此,我认为添加非GWS云标识是不可能的,即使云标识名与组织名称匹配。
https://stackoverflow.com/questions/65657720
复制相似问题
腾讯云开发者
