具有项目所有者的 GCP 服务帐户可以向用户帐户授予权限吗?

【问题标题】:Can a GCP service account with owner for a project grant rights to user account?具有项目所有者的 GCP 服务帐户可以向用户帐户授予权限吗?
【发布时间】:2021-03-07 18:37:58
【问题描述】:

我获得了一个具有测试项目所有者权限的服务帐户和 json 文件。我可以授予我 gmail.com 帐户的权限,以便能够通过普通门户 cloud.google.com 视图管理项目吗?

这对我来说似乎倒退了 - 我希望有权访问该项目的用户必须将我的 gmail.com 帐户授予该服务帐户。

我刚刚开始,所以如果我在这里遗漏了什么,请告诉我。谢谢。

【问题讨论】:

  • 是的,服务帐户可以将 Gmail 用户添加到 Google Cloud 项目。命令是gcloud projects add-iam-policy-binding ...cloud.google.com/sdk/gcloud/reference/projects/…
  • IAM部分一开始并不容易,但非常强大和重要。不要犹豫,问这个;)请记住,服务帐户密钥文件(JSON)是一个秘密,不要公开它。您在 Google Cloud 产品上不需要它,请牢记最低权限原则!!!勇气:*
  • John Hanley - 非常感谢!

标签: google-cloud-platform service-accounts


【解决方案1】:

是否存在具有所有者权限的服务帐户的特定原因?

服务帐户旨在使用该服务帐户所需的特定权限执行服务到服务集成。在我看来,大包装器所有者特权是一种反模式。

我建议您与您的管理员交谈,以向您提供您的 google 帐户的所有权(仅当您确实需要它时),并且只创建具有最低权限的服务帐户,就好像您的服务帐户凭据被泄露一样,风险会非常大巨大的。

更新:

以下是步骤,但您需要小心,如果您应该这样做,请询问您的管理员。

首先,使用您的服务帐户(拥有所有者访问权限)登录 gcloud,

gcloud auth activate-service-account your-service-account@google.com  --key-file=/path/key.json --project=testproject

其次,在您的项目中使用创建新用户,

gcloud projects add-iam-policy-binding my-project \
--member=user:my-user@example.com --role=roles/viewer

参考资料:

  1. https://cloud.google.com/sdk/gcloud/reference/auth/activate-service-account
  2. https://cloud.google.com/iam/docs/granting-changing-revoking-access#updating-gcloud

【讨论】:

  • 是的,这只是一个测试,看看我能在那个项目中做什么。由于我是新手,我不确定是否可以将该服务帐户连接到我的用户帐户,或者是否需要他们执行该步骤。
  • @Seano'brien 我已经添加了执行相同操作的命令。仅当您有足够的权限时,create user 命令才会起作用。让我知道它是否有效:)
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2019-03-15
  • 1970-01-01
  • 2019-03-06
  • 1970-01-01
  • 2019-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode