我有一个使用google组配置的BigQuery数据集,即属于该组的人将能够访问该数据集。
现在用户想要使用第三方应用程序连接到BQ,所以为了验证BQ,我们需要向他们提供服务帐户json文件。我的问题:如何大查询将只提供访问谁是组的一部分的用户,因为一旦我提供他们服务帐户json文件,那么任何用户将能够连接?
作为该组成员的用户帐户将继续具有已分配给该组的访问权限。
这些用户将能够以与现在相同的方式继续访问BigQuery。我假设他们是通过控制台访问的,这不会改变。
当您创建服务帐户时,您将给它在IAM中需要的角色/权限。
您需要安全地将密钥文件传输给您的用户,然后用户可以使用该文件对GCP CLI/API进行身份验证。
是的,一旦您将密钥文件传输给他们,任何拥有该密钥文件的人都可以对CLI进行身份验证。就像任何拥有用户登录详细信息的人都可以在未经你允许的情况下通过控制台访问你的数据集。
因此,该服务帐户应该只具有最小的权限。
然后您可以监视服务帐户的使用
如果您需要对服务帐户或用户帐户的访问进行进一步限制,GCP现在提供BeyondCorp以增加控制台和API访问的安全性。
这是一个特别大的话题,需要提炼成一个回应,对于你的需求来说可能是多余的,也可能不是。