有没有办法在 Google Cloud Platform 中对服务帐户进行分组？

Posted 2023-03-29

【中文标题】有没有办法在 Google Cloud Platform 中对服务帐户进行分组？

【英文标题】：Is there a way to group service accounts in Google Cloud Platform?

【发布时间】：2018-12-03 16:02:14

【问题描述】：

在我管理的同一个 Google Cloud Platform 组织中，有多个属于不同项目的服务帐户需要访问单个（单独的）项目。

有什么方法可以避免必须通过角色单独授予对项目中资源的每个服务帐户的访问权限？

对于常规用户帐户（即通过@gmail.com 或其他域凭据登录的用户帐户），这可以通过通过 Cloud Identity 将所有这些帐户放在一个组中并绑定角色来实现，但是我不知道是否有办法为服务帐户执行此操作。

【问题讨论】：

只是一个想法 - 您是否能够创建一个群组并将服务帐户的电子邮件地址添加到其中？我对此表示怀疑，但请先检查..

应该可以，格雷厄姆。我知道我之前已将服务帐号添加到 Google 群组。

在此处确认可以将服务帐户添加到 Google 群组，但无法验证他们是否获得了继承自该群组的访问权限。测试后会报告。

那么我们知道您是否可以将服务帐户添加到 gsuite 组？这个支持吗

我可以确认这是可能的。服务帐户也获得分配给组的权限。

【参考方案1】：

您可以使用 Google groups（它是 Google 帐户和服务帐户的集合）将访问策略应用于一组用户，这样您就可以一次授予和更改整个组的访问控制，而不是授予或为单个用户或服务帐户一次更改一个访问控制。

【讨论】：

我能想到的这种方法的唯一缺点是您必须允许将任何电子邮件域添加到组中。因此，请注意组的设置方式和添加的用户。