Предотвращает ли ограничение доступа к домену в GCP учетные записи служб для получения разрешений IAM?

Если я включу ограничение политики организации, общий доступ к домену ограничен (doc) и установите его так, чтобы разрешить только мой домен организации foo.com, помешает ли это множеству учетных записей служб платформы получить свои разрешения IAM? Например, учетные записи в домене @iam.gserviceaccount.com или @developer.gserviceaccount.com. Эти сервисные учетные записи получают подготовку и получают разрешения повсюду. Меня беспокоит, что включение ограниченного доступа к домену заблокирует доступ к IAM для этих учетных записей.

Другой способ задать этот вопрос: игнорирует ли ограниченный общий доступ к домену игнорирование такого рода учетных записей служб на основе платформы? Если этого не произойдет, мне кажется, что будет сложно вести список исключений.

Более фундаментальный вопрос: применяется ли ограниченный доступ к домену только к учетным записям Cloud Identity / Google Workspace и, следовательно, не имеет отношения к учетным записям служб?


google-cloud-platform google-cloud-identity
person Thomas Ruble    schedule 10.01.2021    source источник

Ответы (1)


arrow_upward
5
arrow_downward

В этом ответе я использую термин Google Cloud Identities, означающий идентификаторы, такие как учетные записи служб, агенты служб и т. Д., Которые создаются Google Cloud, а не другими службами Google, такими как Gmail.

Если включить ограничение политики организации Общий доступ к домену ограничен ...

Нет. Ограничение политики не повлияет на Google Cloud Identities, такие как сервисные аккаунты. Если бы это было так, ваши проекты скоро рухнули бы и провалились.

Более фундаментальный вопрос: применяется ли ограниченный доступ к домену только к учетным записям Cloud Identity / Google Workspace и, следовательно, не имеет отношения к учетным записям служб?

Общий доступ к домену применяется ко всем учетным записям, отличным от Google Cloud Identities, таким как Google Workspace, Cloud Identity и учетные записи в стиле Gmail. Вы можете определить членов домена, управляемого / контролируемого Google Workspace, как разрешенных ([email protected]), в то время как личности, которые не являются частью этого домена ([email protected]), заблокированы.

В настоящее время поддерживаются только домены, управляемые Google Workspace. Cloud Identity не поддерживает указание разрешенного домена, если имя домена не является также названием организации. (Примечание: я не могу найти авторитетную ссылку на это утверждение, и это может измениться в будущем).

person John Hanley    schedule 10.01.2021