エンジニアリングエラーによるデータ損失の可能性を減らすために、特定のスパナデータベースが単一のサービスアカウントに排他的な許可を与える方法を教えてください。それとももっと良い方法がありますか?スパンデータベースの偶発的削除を防止する
一般的に、Googleクラウド上のプロジェクト内には広い権限が与えられている人がいくつかいます。これは、プロダクションサービスを導入したり、ポケベルの事件を処理したりできるようにするためです。私が知る限り、既に許可されている権限を引き出すことはできません。理想的には、IAMは、アクセスしようとしている特定のサービスアカウントを除いて、単一のスパナデータベースに対するすべての権利を削除することを許可します。
Googleスパナデータベースの削除を防ぐ方法はありますか?開発者はプロジェクトへの広範な(つまり所有者)アクセス権が与えられていますか?
現在のところ、
しかし、今後、IAMにカスタムロールを作成して、Cloud Spannerで制限したいもの以外のすべての権限を与えることができます。次に、このカスタムロールを、完全ではないプロジェクトの広範なアクセス許可を必要とするユーザーに割り当てます。詳細については、creating and managing custom rolesのAlphaドキュメントを参照してください。
クラウドIAMは、カスタマイズされたCloud IAM ロールを作成する機能も提供します。 1つ以上の 権限を持つカスタムCloud IAMロールを作成し、組織の に属するユーザーにそのカスタムロールを付与することができます。クラウドIAMは、作成するためのUIとAPIを提供し、カスタムロールの管理は です。
その間、別のプロジェクトでSpannerインスタンスを分離する回避策は妥当と思われます。
通常のロールからロールを作成することができます。つまり、所有者から作成して権限を削除することができます。通常の役割に基づいた私のカスタムロールが、それが作成されたロールからの変更を継承し続けるかどうかは明らかではありません。私はそれがアルファを残すのを見るでしょう。 – onionjake
私が知る限り、すでに許可を引き出すことはできません。暫定で
、あなたがしようとrevoke access広くアクセス役割アカウントに、そしてCloud Spanner DatabaseReaderへのアクセスを制限することができ|ビューアー| DATABASEUSERの役割。特別なロールアカウントには、Cloud Spanner Admin | DatabaseAdminロール(開発者の制限付きメンバー)の権限が付与されます。
私は、誰も本当にその新しいプロジェクトにGoogleのスパナーデータベースを作成してその上にパーミッションを持っていない新しいプロジェクトを作成すると、これを行うことができると思います。その後、サービスアカウントにアクセス許可を与え、他のプロジェクトの資格情報を使用できますか? – onionjake