Utilizarea condițiilor în atribuirea rolurilor GCP pentru a împiedica utilizatorii să invite alți utilizatori și să gestioneze numai conturile de servicii

Am citit recent despre condițiile din GCP și despre cum le puteți folosi pentru a adăuga logică unui rol. Aș dori să ofer unui utilizator un rol pentru a atribui roluri conturilor de serviciu. Dar dacă fac asta, utilizatorul va putea invita și alți utilizatori la proiect și pe care nu-l doresc.

Am experimentat lucruri precum:

proiecte gcloud add-iam-policy-binding <proiect> --member="user:[email protected]" --role="roles/accesscontextmanager.policyEditor" --condition='title="allow_admin_service_user_only",expression=resource .name.startsWith("iam.googleapis.com/projects/project/serviceAccounts")
proiecte gcloud add-iam-policy-binding <project> --member="user:[email protected]" --role="roles/iam.roleAdmin" --condition='title="allow_admin_service_user_only",expression=resource .name.startsWith("iam.googleapis.com/projects/project/serviceAccounts")

Am încercat și mai multe alte roluri, dar toate eșuează cu aceeași eroare exactă:

EROARE: (gcloud.projects.add-iam-policy-binding) Utilizatorul [[email protected]] nu are permisiunea de a accesa instanța proiectelor [project:setIamPolicy] (sau este posibil să nu existe): acces la actualizarea politicii refuzat.

Întrebarea este: Este posibil să se permită editarea/adăugarea/revocarea rolurilor numai pe conturile de serviciu? si daca da, cum?

Eroarea cu care vă confruntați, în majoritatea cazurilor, este cauzată de faptul că API-ul necesar nu este activat pentru proiectul dvs. GCP. Pentru a rezolva asta, în primul rând, veți avea nevoie de o cheie API. Există 3 opțiuni pentru a-l obține:

1.- Cereți unui administrator de securitate să vă creeze o cheie API.

2.- Întrebați un administrator de securitate vă oferă acces la proiect astfel încât să puteți crea o cheie API în același proiect cu care este asociat API-ul.

3.- Întrebați un administrator de securitate vă acordă acces pentru a activa API-ul în propriul proiect Google Cloud, astfel încât să puteți crea o cheie API.

Odată ce îl aveți, urmați pașii următori:

1.- În Cloud Console, accesați API-uri și servicii pentru proiectul dvs.

2.- În pagina Bibliotecă, faceți clic pe API-uri private. Dacă nu vedeți API-ul listat, înseamnă că nu vi s-a acordat acces pentru a activa API-ul.

3.- Faceți clic pe API-ul pe care doriți să îl activați. Dacă aveți nevoie de ajutor pentru a găsi API-ul, utilizați câmpul de căutare.

4.- În pagina care afișează informații despre API, faceți clic pe Activare.

Următoarea adresă URL conține documentația oficială GCP pentru acel proces Activarea unui API în proiectul dvs. Google Cloud. În plus, vă recomand să vă asigurați că aveți rolul de administrator de securitate pentru IAM.

Acum, vorbind despre rolurile pentru Conturile de serviciu, se pare că ați testat deja toate rolurile existente și niciunul dintre ele nu vă satisface nevoile. Deci, puteți încerca cu Roluri personalizate, ceea ce înseamnă roluri concepute în detaliu de dvs. Pentru a crea un rol personalizat, puteți accesa direct în ecranul care apare după ce ați creat Conturile de serviciu; în câmpul âSelect Roleâ listă de alegere, selectați opțiunea âManage Rolesâ, iar în ecranul următor veți vedea butonul â+Create Roleâ în text albastru. Acolo veți putea crea un rol personalizat care să corespundă cerințelor dvs. În următoarele adrese URL, vă partajez informațiile oficiale GCP către înțelegeți Conturile de servicii și Roluri.