问题描述
我有一个 GCP 项目,我可以让用户做任何他们想做的事情:他们可以启用新组件,他们可以将数据上传到 BigQuery/Cloud Storage 等。他们唯一不能做的就是创建虚拟机。
但我不想让他们下载数据,因为这是敏感数据。 他们可以根据需要探索和处理 GCP 中的数据(这是一个分析项目),但他们应该无法下载数据。
问题是:我们知道我们可以阻止用户通过 BigQuery 下载数据。但他们可以很有创意。他们可以在 AI Notebooks 中构建 python 脚本和 write.csv,他们可以创建服务帐户和连接外部平台等。
因此,我们可以限制他们下载 BQ 结果,甚至阻止他们创建服务帐户。但我想知道:他们还能做什么来下载数据?
这里的任何见解都会非常有帮助。 非常感谢!
解决方法
由于您为项目授予了他们的所有者角色,因此您无法阻止他们下载数据、创建服务帐户等。但你可以监控他们在做什么。
1- 使用 Cloud Logging 从任何来源摄取和分析日志数据。
2- 使用 Cloud Data Loss prevention - DLP 保护您的客户数据,并让您的团队访问与分析更相关的 DLP 输出。
3- 将 Cloud Monitoring dashboard 用于 BigQuery(和其他)以查看用户可配置的表格、事件和事件报告的列表以及项目指标或数据集指标的图表。
4- 尝试在 IAM 中为您的团队设计自定义角色,并将这些角色分配给群组成员。