如果我打开组织策略约束“域限制共享”( doc ) 并将其设置为仅允许我的组织域foo.com,这会阻止大量平台服务帐户获得其 IAM 权限吗?例如,域中的帐户@iam.gserviceaccount.com或@developer.gserviceaccount.com. 这些服务帐户在所有地方都得到配置和授予权限。我担心启用“域限制共享”会阻止这些帐户拥有 IAM 访问权限。
另一种问法是:“域限制共享”是否忽略了这些基于平台的服务帐户?如果没有,我觉得很难维护一个例外列表。
一个更基本的问题 - “域限制共享”是否仅适用于 Cloud Identity / Google Workspace 帐户,因此与服务帐户无关?
在这个答案中,我使用的术语Google Cloud Identities是指由谷歌云而不是其他谷歌服务(如 Gmail)创建的身份,如服务帐户、服务代理等。
如果打开组织策略约束“域限制共享”...
不会。政策限制不会影响服务帐号等 Google Cloud 身份。如果是这种情况,您的项目很快就会崩溃并失败。
一个更基本的问题 - “域限制共享”是否仅适用于 Cloud Identity / Google Workspace 帐户,因此与服务帐户无关?
域限制共享适用于所有非 Google Cloud 身份,例如 Google Workspace、Cloud Identity 和 Gmail 样式帐户。您可以将由 Google Workspace 管理/控制的域的成员定义为允许 (me@example.com),而阻止不属于该域 (me@gmail.com) 的身份。
目前,仅支持由 Google Workspace 管理的域。不支持 Cloud Identity 指定允许的域,除非域名也是组织名称。(注意:我找不到该声明的权威参考,将来可能会改变)。