我有一个GCP项目,我可以允许用户做任何他们想做的事情:他们可以启用新组件,他们可以将数据上传到BigQuery/云存储,等等。他们唯一不能做的就是创建虚拟机。
但我不想允许他们下载数据,因为这是敏感数据。他们可以随心所欲地探索和处理GCP内部的数据(这是一个分析项目(,但他们不应该下载数据。
问题是:我们知道我们可以阻止用户通过BigQuery下载数据。但他们也可以有创造力。他们可以在AI Notebooks和write.csv中构建python脚本,可以创建服务帐户和连接外部平台等。
因此,我们可以限制他们下载BQ结果,甚至阻止他们创建服务帐户。但我想知道:他们还能做些什么来下载数据
这里的任何见解都将非常有帮助。非常感谢!
由于您为项目赋予了他们所有者角色,因此无法阻止他们下载数据,请创建一个服务帐户。。等等,但你可以监控他们在做什么。
1-使用云日志记录从任何来源获取和分析日志数据。
2-使用云数据丢失预防-DLP来保护您的客户数据,并让您的团队访问与分析更相关的DLP输出。
3-使用BigQuery(和其他(的云监控面板可以查看用户可配置的表、事件和事件报告的列表,以及项目指标或数据集指标的图表。
4-尝试在IAM中为您的团队设计自定义角色,并将这些角色分配给团队成员。