0

我有一个 GCP 项目,我可以允许用户做任何他们想做的事情:他们可以启用新组件,他们可以将数据上传到 BigQuery/Cloud Storage 等。他们唯一不能做的就是创建虚拟机。

但我不想让他们下载数据,因为它是敏感数据。他们可以根据需要探索和使用 GCP 中的数据(这是一个分析项目),但他们不应该能够下载数据。

问题是:我们知道我们可以阻止用户通过 BigQuery 下载数据。但他们可以有创意。他们可以在 AI Notebooks 和 write.csv 中构建 python 脚本,他们可以创建服务帐户和连接外部平台等。

因此,我们可以限制他们下载 BQ 结果,甚至阻止他们创建服务帐户。但我想知道:他们还能做些什么来下载数据?

这里的任何见解都会非常有帮助。非常感谢!

4

1 回答 1

1

因为你给了他们项目的所有者角色,你不能阻止他们下载数据,创建一个服务帐户..等等。但你可以监控他们在做什么。

1- 使用Cloud Logging从任何来源提取和分析日志数据。

2- 使用云数据丢失防护 - DLP保护您的客户数据,并让您的团队访问与分析更相关的 DLP 输出。

3- 使用适用于 BigQuery(和其他)的Cloud Monitoring 仪表板查看用户可配置的表、事件和事件报告的列表以及项目指标或数据集指标的图表。

4- 尝试在 IAM 中为您的团队设计自定义角色,并将这些角色分配给组的成员。

于 2021-05-06T22:59:44.733 回答