我正在寻找一名新开发人员加入我的 GCP 项目,分配职责,例如部署云功能并可能向其他人授予访问权限。但是,在向他们提供 admin setIAMPolicy 权限后,我发现他们可以编辑我作为所有者的角色,这是不可取的。
是否有特定的权限设置或角色配置允许必要的访问,同时防止用户使用所有者和编辑者权限更改角色?我正在寻求建议和最佳实践,以在访问控制方面取得平衡。任何有关实现这一目标的指导都将受到高度赞赏。谢谢!
如果您想让他们自由授予权限(例如在服务帐户上),他们也可以自由地授予自己他们想要的角色!
问题并不容易解决。到目前为止,我看到了两种解决方案:
没什么神奇的,阻止角色分配(主动)或在授予后自动删除压倒角色(被动)。
我两者都实现了,而反应式是最容易使用、最快的一种。但您必须接受角色授予和删除之间有几秒钟的延迟。