云功能部署的 GCP 权限

问题描述 投票:0回答:1

我正在寻找一名新开发人员加入我的 GCP 项目,分配职责,例如部署云功能并可能向其他人授予访问权限。但是,在向他们提供 admin setIAMPolicy 权限后,我发现他们可以编辑我作为所有者的角色,这是不可取的。

是否有特定的权限设置或角色配置允许必要的访问,同时防止用户使用所有者和编辑者权限更改角色?我正在寻求建议和最佳实践,以在访问控制方面取得平衡。任何有关实现这一目标的指导都将受到高度赞赏。谢谢!

google-cloud-platform google-cloud-functions google-iam
1个回答
0
投票

如果您想让他们自由授予权限(例如在服务帐户上),他们也可以自由地授予自己他们想要的角色!

问题并不容易解决。到目前为止,我看到了两种解决方案:

  • 不要授予用户安全管理员角色。相反,创建一个辅助服务,用户可以在其中为 SA 或他们自己请求角色。该服务有一个允许/阻止的角色列表。正是该服务授予或不授予所请求的角色。
  • 给予用户充分的自由,但开发对被控制的角色的自动修复。 2个选项:
    • 使用SCC(安全指挥中心)和基本角色检测事件。在该事件中获取项目 ID 和电子邮件,并删除角色
    • 使用日志接收器:将所有 IAM 审核日志接收到同一位置。然后创建自定义指标并在每次授予所有者/编辑者(或其他)角色时发送事件并自动删除该角色。

没什么神奇的,阻止角色分配(主动)或在授予后自动删除压倒角色(被动)。

我两者都实现了,而反应式是最容易使用、最快的一种。但您必须接受角色授予和删除之间有几秒钟的延迟。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.