Sử dụng các điều kiện trong phân công vai trò GCP để ngăn người dùng mời người dùng khác và chỉ quản lý tài khoản dịch vụ

Gần đây tôi đã đọc về các điều kiện trong GCP và cách một người có thể sử dụng chúng để thêm logic vào một vai trò. Tôi muốn cấp cho người dùng một vai trò để gán vai trò cho tài khoản dịch vụ. Nhưng nếu tôi làm điều đó, người dùng cũng sẽ có thể mời những người dùng khác tham gia dự án và điều đó tôi không muốn.

Tôi đã thử nghiệm với những thứ như:

dự án gcloud add-iam-policy-binding <project> --member="user:[email protected]" --role="roles/accesscontextmanager.policyEditor" --condition='title="allow_admin_service_user_only",expression=resource .name.startsWith("iam.googleapis.com/projects/project/serviceAccounts")
dự án gcloud add-iam-policy-binding <project> --member="user:[email protected]" --role="roles/iam.roleAdmin" --condition='title="allow_admin_service_user_only",expression=resource .name.startsWith("iam.googleapis.com/projects/project/serviceAccounts")

Đã thử nhiều vai trò khác nhưng tất cả đều thất bại với cùng một lỗi chính xác:

LỖI: (gcloud.projects.add-iam-policy-binding) Người dùng [[email protected]] không có quyền truy cập phiên bản dự án [project:setIamPolicy] (hoặc có thể không tồn tại): Quyền truy cập cập nhật chính sách bị từ chối.

Câu hỏi là: Có thể chỉ cho phép chỉnh sửa/thêm/thu hồi vai trò trên tài khoản dịch vụ không? và nếu có, làm thế nào?

Lỗi mà bạn đang gặp phải, trong hầu hết các trường hợp, là do API bắt buộc không được bật cho Dự án GCPâs của bạn. Để giải quyết vấn đề đó, trước hết, bạn cần có Khóa API. Có 3 lựa chọn để có được nó:

1.- Yêu cầu quản trị viên bảo mật tạo khóa API cho bạn.

2.- Yêu cầu quản trị viên bảo mật cấp cho bạn quyền truy cập vào dự án để bạn có thể tạo khóa API trong cùng một dự án mà API được liên kết.

3.- Yêu cầu quản trị viên bảo mật cấp cho bạn quyền truy cập để bật API trong dự án Google Cloud của riêng bạn để bạn có thể tạo khóa API.

Khi bạn đã có nó, hãy làm theo các bước tiếp theo:

1.- Trong Bảng điều khiển đám mây, hãy truy cập API & dịch vụ cho dự án của bạn.

2.- Trên trang Thư viện, nhấp vào API Riêng tư. Nếu bạn không thấy API được liệt kê, điều đó có nghĩa là bạn chưa được cấp quyền truy cập để bật API.

3.- Nhấp vào API bạn muốn bật. Nếu bạn cần trợ giúp tìm API, hãy sử dụng trường tìm kiếm.

4.- Trong trang hiển thị thông tin về API, hãy nhấp vào Kích hoạt.

URL sau có tài liệu chính thức của GCPâ cho quy trình đó Kích hoạt API trong dự án Google Cloud của bạn. Ngoài ra, tôi khuyên bạn nên đảm bảo rằng bạn có vai trò Quản trị viên bảo mật cho IAM.

Bây giờ, nói về vai trò của Tài khoản dịch vụ, có vẻ như bạn đã thử nghiệm tất cả các vai trò hiện có và không có vai trò nào đáp ứng nhu cầu của bạn. Vì vậy, bạn có thể thử với Vai trò tùy chỉnh, nghĩa là vai trò do bạn thiết kế chi tiết. Để tạo vai trò tùy chỉnh, bạn có thể truy cập ngay trong màn hình hiện ra sau khi tạo Tài khoản dịch vụ; trong trường danh sách chọn âChọn vai tròâ, hãy chọn tùy chọn âQuản lý vai tròâ và trong màn hình sau, bạn sẽ thấy nút â+Tạo vai tròâ bằng văn bản màu xanh lam. Ở đó, bạn sẽ có thể tạo một vai trò tùy chỉnh đáp ứng các yêu cầu của mình. Trong các URL sau, tôi đang chia sẻ với bạn thông tin chính thức của GCP để hiểu Tài khoản dịch vụ và vai trò.