爲了減少由於工程錯誤導致數據丟失的可能性,特定的扳手數據庫如何授予單個服務帳戶的獨佔權限?還是有更好的方法來做到這一點?防止意外刪除扳手數據庫
通常有幾個人在谷歌雲計劃項目中被授予廣泛的權利。這樣他們就可以部署生產服務,處理pagerduty事件等。據我所知,不可能減去已經授予的權限。理想情況下,IAM將允許刪除單個扳手數據庫的所有權限,除非指定要訪問它的指定服務帳戶。
即使開發人員已被授予對項目的廣泛(即所有者)訪問權限,是否有辦法防止刪除谷歌扳手數據庫?
當前不是。
但是,將來可能會在IAM中創建自定義角色,您可以在其中提供除雲端Spanner上要限制的權限以外的所有權限。然後,您可以將此自定義角色分配給需要廣泛但不是完整項目權限的人員。有關更多詳細信息,請參閱creating and managing custom roles的Alpha文檔。
Cloud IAM還提供了創建自定義Cloud IAM 角色的功能。您可以創建具有一個或多個 權限的自定義Cloud IAM角色,然後將該自定義角色授予屬於貴組織的一部分的用戶。 Cloud IAM提供用於創建和管理自定義角色的UI和API。
與此同時,在單獨的項目中隔離Spanner實例的解決方法似乎是合理的。
看起來你可以從一個普通的角色創建一個角色,這意味着我可以從所有者創建一個角色,然後移除權限,這是很整潔的!目前尚不清楚基於常規角色的自定義角色是否會繼承其創建的角色的更改。我會看着它離開阿爾法。 – onionjake
據我可以告訴它是不可能減去已經授予的權限。
在此期間,你可以嘗試revoke access的廣泛訪問的角色帳戶,並限制他們Cloud Spanner DatabaseReader訪問|瀏覽器| DatabaseUser角色。然後可爲特殊角色帳戶授予Cloud Spanner Admin | DatabaseAdmin角色(受限制的開發人員成員資格)的權限。
我想我可以完成這項工作,如果創建一個沒有人真正擁有任何權限的新項目並在該新項目中創建谷歌扳手數據庫。然後,我可以將權限授予服務帳戶並在其他項目中使用憑據? – onionjake