如何限制 G Suite 中的服务帐户访问权限？

Question

我为我的 gsuite 域创建了一个服务帐户，我将使用该帐户访问一个用户 G Drive 以在那里进行备份。

为了避免安全问题，我当然需要以某种方式确保服务帐户只能访问此特定用户的数据，并且只能访问他们的 GDrive，而不能访问其他任何内容。而且最好是它只能用于写入，不能删除任何文件。 （当然我可以使用共享驱动器来执行此操作，但我的客户端可能无法做到这一点（通过 linux 进行 rclone），我还不确定。）

我该如何做到这一点？提前感谢您的帮助！

Answer 1

您不能限制服务帐户。在服务帐户上启用域范围委派后，它就拥有整个 G Suite 帐户的管理员权限。您唯一的选择是将 OAuth 2.0 与用户帐户凭据一起使用并应用范围。

Answer 2

如果您将域范围的委派授予服务帐户，则可以模拟域中的任何用户。服务帐户可以访问与其模拟的用户相同的资源，如here 所示。当然，它也无法访问被模拟用户无法访问的资源。

如果您的问题是您是否可以禁止服务帐户冒充某些用户，这是不可能的。任何有权访问服务帐户的用户都可以模拟域中的任何用户，只需指定电子邮件地址。

另外，关于作用域，创建新文件的作用域 (Files: create) 与删除它们的作用域 (Files: delete) 相同，因此不能允许一个而禁止另一个。

参考：

• Delegating domain-wide authority to the service account

希望对你有帮助。