我正在考虑限制一些初级团队成员的权限,这些成员在GCP上没有使用他们的大部分权限。
这些用户独占地创建+使用VM实例,以及使用GCS。他们目前的角色是Editor。看看现有的自定义角色,在我看来,Compute Instance Admin (v1)和Storage Admin角色更适合它们的使用。
但是,查看权限差异,以setIamPolicy结尾的一些权限对我来说是潜在的危险。diff还包含一些createTagBinding和deleteTagBinding权限,这些权限看起来不那么令人担忧。授予这些权利的后果是什么?
我很惊讶,我不能找到一个更细粒度的Editor级别的角色,Compute Instance和Storage。在我看来,这些都是其他公司可能想要使用的常见角色。据我所知,User,Viewer,Creator或Compute Instance和Storage特定的角色似乎都缺乏我们当前需要的一些核心权限,例如列出桶,创建虚拟机或使用sudo权限登录虚拟机。我是否忽略了一些现有的角色?是否有一种方法可以创建一个"交叉角色",只授予两个父角色都拥有的权限?
应该尽可能避免编辑器、所有者和查看器等基本角色。您建议的角色,如"计算实例管理员"是首选。
在以setIamPolicy结尾的权限方面,对于Compute Instance Admin角色,它们仅适用于计算资源,如实例,快照等。
它们需要授予具有Admin角色的人创建的资源权限。它们不允许在计算资源之外创建/授予新的权限/角色。
请看下面的摘要。它显示了类似的情况:https://cloud.google.com/iam/docs/resource-hierarchy-access-control