【发布时间】:2021-01-22 12:01:31
【问题描述】:
我们有一个用例,我们需要允许服务帐号访问特定用户的 G Suite 帐号,但不允许访问任何其他用户的 G Suite 帐号。我们的第一种方法是全域委派,但这当然过于宽泛——它只通过更改模拟目标就授予对所有用户帐户的全权访问权限,从安全角度来看这是不可接受的.而且,由于这是一个服务器到服务器的操作,上面没有任何 UI,因此手动授权流程是 Right Out™ - 这必须完全从 G Suite 管理面板/GCloud 或通过登录主 G Suite 中某处的用户。
有什么方法可以实现吗?期望的最终结果是服务帐户能够模拟 一个 用户,但尝试与任何其他用户一起这样做会导致权限违规。
【问题讨论】:
标签: google-cloud-platform google-api service-accounts