我想确保谷歌云平台服务帐户没有管理员权限。
此外,我希望防止用户创建具有管理员权限的服务帐户,或向现有服务帐户添加管理员权限。
你知道通过政策来确保这一点的方法吗?
您可以根据用户需要使用细粒度权限。
可以限制资源,甚至使用这些细粒度的权限,您可以创建一个基于计算管理员的自定义角色,只需删除所有遵循语法"的权限.setIamPolicy";。即
compute.instances.setIamPolicy
compute.licenses.setIamPolicy
compute.machineImages.setIamPolicy
compute.licenseCodes.setIamPolicy
这可能会限制用户设置IAM绑定,但它通常是有限的,适用于用户,而不仅仅是服务帐户。仅用于SA是不可能的。
我建议您遵循IAM的最佳实践,这样您就可以更好地管理您的安全,如果需要,您可以创建功能请求,以支持IAM条件下的角色绑定。
创建一个可以在项目或组织级别完成的自定义角色。为您创建的自定义角色添加权限。
此外,IAM策略将允许您通过设置IAM策略来控制谁(用户(对哪些资源具有什么(角色(权限。(具有角色的用户帐户或服务帐户(。修改策略后,授予所需的角色并调用setIamPolicy((进行更新。