我有一个使用 google 群组配置的 BigQuery 数据集,即属于该群组的人将能够访问该数据集。
现在用户希望使用第三方应用程序连接到 BQ,因此要验证 BQ,我们需要向他们提供服务帐户 json 文件。 我的问题 : Big Query 应该如何仅向属于组的用户提供访问权限,因为一旦我向他们提供服务帐户 json 文件,那么任何用户都可以连接?
【问题讨论】:
标签: google-cloud-platform google-bigquery
您属于该组成员的用户帐户将继续拥有已分配给该组的访问权限。
这些用户将能够像现在一样继续访问 BigQuery。我假设他们是通过控制台访问的,这并没有改变。
当您创建服务帐号时,您将在 IAM 中为其提供所需的角色/权限。
您需要将密钥文件安全地传输给您的用户,然后他们可以使用该文件对 GCP CLI/API 进行身份验证。
是的,一旦您将密钥文件传输给他们,任何拥有该密钥文件的人都可以通过 CLI 进行身份验证。就像任何拥有用户登录详细信息的人都可以在未经您许可的情况下通过控制台访问您的数据集一样。
因此,该服务帐户应该只分配给它的最小权限。
然后您可以监控service account's usage
如果您需要对服务帐户或用户帐户的访问进行进一步限制,GCP 现在提供BeyondCorp 以增加security of console and API access。
这是一个特别大的主题,需要提炼成回复,可能会也可能不会过分满足您的要求。
【讨论】: