在 Google Cloud Platform 中,您似乎可以将服务帐户添加到 Google Groups (https://cloud.google.com/iam/docs/overview#google_group)。但是,Google 群组是整个组织范围内的。
项目所有者(或编辑者)是否可以创建服务账户组以在单个项目中使用?
答案1
正如您所说,Google 群组的定义是组织范围内的,但是加入 Google 群组实际上并不会自动授予组织范围内的任何权限。您可以创建一个群组并只授予其对一个项目的权限。因此,一种解决方案是为该项目创建一个 Google 群组(例如[电子邮件保护]) 并使该组成为项目的所有者。然后,您可以将服务帐户放入该组中,这样它们就可以访问该项目。
或者,您根本不必使用群组。您可以直接将服务帐户设为项目的所有者或编辑者。