问题描述
如果我打开组织策略约束“域受限共享”(doc) 并将其设置为仅允许我的组织域 foo.com,这是否会阻止大量平台服务帐户获取他们的授予 IAM 权限?例如,域 @iam.gserviceaccount.com 或 @developer.gserviceaccount.com 中的帐户。这些服务帐户在所有地方都得到配置和授予权限。我担心启用“域限制共享”会阻止这些帐户获得 IAM 访问权限。
问这个问题的另一种方法是:“域限制共享”是否忽略这些基于平台的服务帐户?如果没有,我觉得很难维护一个例外列表。
一个更基本的问题 - “域限制共享”是否仅适用于 Cloud Identity/Google Workspace 帐户,因此与服务帐户无关?
解决方法
在此答案中,我使用的术语 Google Cloud Identities 表示由 Google Cloud 创建的身份,例如服务帐户、服务代理等,而不是由 Gmail 等其他 Google 服务创建。
如果打开组织策略约束“域受限 分享”...
没有。政策限制不会影响服务帐号等 Google Cloud 身份。如果是这种情况,您的项目很快就会崩溃并失败。
一个更基本的问题 - 是否仅“域限制共享” 适用于 Cloud Identity/Google Workspace 帐户,因此不 与服务帐户相关吗?
域受限共享适用于所有非 Google Cloud 身份,例如 Google Workspace、Cloud Identity 和 Gmail 样式帐户。您可以将 Google Workspace 管理/控制的域的成员定义为允许 (me@example.com),但不属于该域 (me@gmail.com) 的身份被阻止。
目前仅支持由 Google Workspace 管理的域。除非域名也是组织名称,否则不支持 Cloud Identity 指定允许的域。 (注意:我找不到此声明的权威参考,这可能会在未来发生变化)。