为了减少因工程错误导致数据丢失的可能性,特定的扳手数据库如何为单个服务帐户授予独占权限?或者有更好的方法吗?
通常,有几个人在Google云端的项目中获得了广泛的权利。这样他们就可以部署生产服务,处理pagerduty事件等。据我所知,不可能减去已经授予的权限。理想情况下,IAM将允许删除单个权限spanner数据库,但用于访问它的指定服务帐户除外。
有没有办法阻止删除谷歌扳手数据库,即使开发人员已被授予对项目的广泛(即所有者)访问权限?
答案 0 :(得分:1)
目前不是。
但是,将来可能有能力在IAM中创建自定义角色,您可以在其中提供除了要限制在Cloud Spanner上的权限之外的所有权限。然后,您可以将此自定义角色分配给需要广泛但不是完整项目权限的人员。有关详细信息,请参阅creating and managing custom roles的Alpha文档。
Cloud IAM还提供了创建自定义Cloud IAM的功能 角色。您可以使用一个或多个创建自定义Cloud IAM角色 权限,然后将该自定义角色授予属于的用户 你的组织。 Cloud IAM提供用于创建和创建的UI和API 管理自定义角色。
与此同时,在单独的项目中隔离Spanner实例的解决方法似乎是合理的。
答案 1 :(得分:0)
据我所知,不可能减去已经授予的权限。
在此期间,您可以尝试revoke access到广泛访问的角色帐户,并限制他们对Cloud Spanner DatabaseReader | Viewer | DatabaseUser角色的访问权限。然后,可以为特殊角色帐户授予Cloud Spanner Admin | DatabaseAdmin角色(受限制的开发者成员身份)的权限。