我需要一个用于 e2e 测试的服务帐户,以模拟注册流程(使用初始密码发送电子邮件等)。然而,据我所知,gmail 即服务是在公司/计费帐户级别上管理的,而不是在单个 GCP 项目(开发、登台、生产)级别上管理的。这意味着,如果我将 Roles/gmail.readonly 授予服务帐户,它可以读取所有生产客户的私人电子邮件。有哪些方法可以限制访问权限,以便有权访问服务帐户的开发人员和潜在黑客无法阅读真人的私人电子邮件,而只能阅读技术 e2e 用户的私人电子邮件?
如果您配置域范围委派,服务帐户仅适用于 Gmail。它会发送给域中的任何用户。
如果它是域上的有效用户,您可以委托,因为没有办法将其限制为仅单个用户。因此术语“全域”
delegated_credentials = credentials.with_subject(user_email)