如果我打开组织策略约束“域限制共享”( doc ) 并将其设置为仅允许我的组织域foo.com
,这会阻止大量平台服务帐户获得其 IAM 权限吗?例如,域中的帐户@iam.gserviceaccount.com
或@developer.gserviceaccount.com
. 这些服务帐户在所有地方都得到配置和授予权限。我担心启用“域限制共享”会阻止这些帐户拥有 IAM 访问权限。
另一种问法是:“域限制共享”是否忽略了这些基于平台的服务帐户?如果没有,我觉得很难维护一个例外列表。
一个更基本的问题 - “域限制共享”是否仅适用于 Cloud Identity / Google Workspace 帐户,因此与服务帐户无关?