服务账户管理员角色的 GCP 条件 IAM 绑定

问题描述 投票:0回答:1

我希望我的服务帐户 (SA) 只能禁用其他 SA。 目前是否可以有一个条件绑定来限制我的 SA 仅拥有可用角色 

Service Account Admin
的一两个权限?我知道我可以有条件地限制哪些 SA 可编辑(通过对 SA 的名称设置条件),因此我正在 CEL 中寻找类似的解决方案。

示例: SA:[电子邮件受保护] 将负责文件夹中的其他 SA。它将具有 

Service Account Admin
角色分配的文件夹级别。希望应用某种限制,因为我不希望此 SA 从此文件夹项目中创建、更新或删除其他 SA。

google-cloud-platform service-accounts google-iam
1个回答
0
投票

通过 IAM 控制台或 IAM API 创建仅显式包含 

iam.serviceAccounts.disable
权限的自定义角色。然后将此自定义角色分配给文件夹级别的“the-decativator”SA。

这将授予 SA 禁用其他服务帐户的能力,但限制其他操作,例如创建、更新或删除它们。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.