没有 `iam.serviceAccounts.actAs` 权限的角色/编辑器的 GCP 角色替换

【问题标题】:GCP roles replacement for roles/editor which doesn't have `iam.serviceAccounts.actAs` permission没有 `iam.serviceAccounts.actAs` 权限的角色/编辑器的 GCP 角色替换
【发布时间】:2022-12-12 20:37:36
【问题描述】:

调查此问题的原因是因为编辑角色具有 iam.serviceAccounts.actAs 权限,这可能允许用户在找到具有足够权限的服务帐户的情况下潜在地交互/更改文件夹之外的内容。

为了解决这个问题,我们正在考虑用每个 GCP 产品的一堆角色替换编辑角色,这样用户仍然对该项目内的资源具有类似的访问权限,但不能充当服务帐户。

有谁知道比手动比较每个产品角色的权限与编辑角色权限更简单的方法吗?

【问题讨论】:

  • 比较每个资源的 IAM 角色正是您应该做的。良好的安全性几乎没有捷径可走。了解您要管理的权限是第一步。

标签: google-cloud-platform identity-management


【解决方案1】:

正如@johnhanley 所说,比较每个资源的 IAM 角色正是您应该做的。

您可以使用 Google Cloud 控制台、gcloud CLI、REST API 或 Resource Manager 客户端库查看谁有权访问您的项目、文件夹或组织。

通过使用谷歌云控制台:

  1. 转到IAM页面
  2. 选择您要编辑策略的所需项目、文件夹或组织
  3. 选择后,您可以通过 2 个过滤器查看项目权限,即按权限和角色,如下图所示。

    通过使用按角色查看,您可以轻松找出您已授予的权限,并根据您的要求相应地替换它们。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2018-12-29
    • 1970-01-01
    • 2021-06-22
    • 1970-01-01
    • 1970-01-01
    • 2019-06-26
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode