这令人沮丧,因为服务帐户的模拟比AWS灵活得多。
我希望Gsuite组的用户能够模拟特定google项目或项目文件夹中的所有服务帐户
但是我仅看到一个示例,其中您将serviceAccountTokenCreator角色直接分配给了特定的服务帐户。
这很麻烦。如果我的dev gcp项目中有X个服务帐户,我希望可以说“ X组中的用户可以模拟项目Y中的所有服务帐户”。这是可能吗?还是我需要为每个服务帐户创建一个绑定,其中包含可以模拟 的组/用户列表。
答案 0 :(得分:0)
要允许成员模拟在项目,文件夹或组织中创建的所有服务帐户,请grant the necessary role在项目,文件夹或组织中。 参考:https://cloud.google.com/iam/docs/impersonating-service-accounts#impersonate-parent-level