我希望我的服务帐户 (SA) 只能禁用其他 SA。 目前是否可以有一个条件绑定来限制我的 SA 仅拥有可用角色
Service Account Admin
的一两个权限?我知道我可以有条件地限制哪些 SA 可编辑(通过对 SA 的名称设置条件),因此我正在 CEL 中寻找类似的解决方案。
示例: SA:[电子邮件受保护] 将负责文件夹中的其他 SA。它将具有
Service Account Admin
角色分配的文件夹级别。希望应用某种限制,因为我不希望此 SA 从此文件夹项目中创建、更新或删除其他 SA。
通过 IAM 控制台或 IAM API 创建仅显式包含
iam.serviceAccounts.disable
权限的自定义角色。然后将此自定义角色分配给文件夹级别的“the-decativator”SA。
这将授予 SA 禁用其他服务帐户的能力,但限制其他操作,例如创建、更新或删除它们。