看来这个问题应该被编辑
我想创建一个 GCP 项目并授予对特定 API 的访问权限/ 团队的权限。
您可以对服务执行此操作,这就是 Google IAM 存在的原因之一。您无法专门为 API 指定角色 - 您可以通过不授予启用服务的权限来阻止启用任何 API。您可以使用组织策略约束来防止为项目启用某些 API,但不为个人启用。
但我希望他们能够自主:他们应该能够创造自己的 在我允许的范围内拥有自己的服务帐户。
Google Cloud IAM 不支持此功能。如果您有权创建服务帐户 (roles/iam.serviceAccountAdmin),则您也有权向该服务帐户分配角色。这是管理员级别的权限,仅应授予管理员而不是普通用户。仔细管理此角色,因为管理员可以创建具有项目所有者角色的服务帐户。
那么是否可以拥有一个具有 Cloud SQL 管理员权限的用户 角色,允许他向服务帐户授予类似的权限, 还阻止他授予云存储权限?
不支持此功能。为了获得向服务帐户分配角色的权限,您必须是服务帐户管理员。
遗憾的是没有。不可能阻止“角色/权限升级”。如果某人是 IAM 管理员,他可以分配她想要的角色,甚至给他自己以及更高级别的角色,他们会隐藏当前权限。
但是,您可以制定政策来限制项目或组织中的事物:允许的 API、允许的外部帐户、公共 IP...
根据此处的文档似乎是可能的:
https://cloud.google.com/iam/docs/setting-limits-on-granting-roles
在大型组织中,让团队独立管理其资源的身份和访问管理 (IAM) 策略会很有帮助。但是,让委托人授予或撤销所有 IAM 角色可能会大大增加您的安全风险。
给定用例:
考虑一个场景,您希望让用户 Finn([电子邮件受保护])充当您的项目的有限 IAM 管理员。您希望 Finn 能够仅为您的项目授予和撤销计费帐户管理员 (roles/billing.admin) 和计费帐户用户 (roles/billing.user) 角色。
我正在努力实现同样的目标。我希望 Terraform 服务帐户能够执行其需要执行的所有操作,除了允许用户将其角色提升到项目范围之外(即没有所有者级别角色,只有资源级别角色)。