GCP中的“域限制共享”是否会阻止服务帐户获得IAM权限?
如果我打开组织策略约束“域限制共享”(doc)并将其设置为仅允许我的组织域foo.com,这是否会阻止大量平台服务帐户获得其 IAM 权限?例如,域中的帐户@iam.gserviceaccount.com或@developer.gserviceaccount.com. 这些服务帐户在所有地方都得到配置和授予权限。我担心启用“域限制共享”会阻止这些帐户获得 IAM 访问权限。
另一种提问方式是:是否“域限制共享” 忽略了这些基于平台的服务帐户?如果没有,我觉得很难维护一个例外列表。
一个更基本的问题 - “域限制共享”是否仅适用于 Cloud Identity / Google Workspace 帐户,因此与服务帐户无关?
回答
在此答案中,我使用的术语Google Cloud Identities表示身份,例如由 Google Cloud 创建的服务帐户、服务代理等,而不是由其他 Google 服务(例如 Gmail)创建。
如果打开组织策略约束“域限制共享”...
不会。政策限制不会影响服务帐号等 Google Cloud 身份。如果是这种情况,您的项目很快就会崩溃并失败。
一个更基本的问题 - “域限制共享”是否仅适用于 Cloud Identity / Google Workspace 帐户,因此与服务帐户无关?
域受限共享适用于所有非 Google Cloud 身份,例如 Google Workspace、Cloud Identity 和 Gmail 样式帐户。您可以将 Google Workspace 管理/控制的域的成员定义为允许 (me@example.com),但不属于该域 (me@gmail.com) 的身份被阻止。
目前,仅支持由 Google Workspace 管理的域。除非域名也是组织名称,否则不支持 Cloud Identity 指定允许的域。(注意:我找不到此声明的权威参考,这在未来可能会发生变化)。