我有一个要求,需要使用跨项目访问 Google Ads (Adwords) 服务。也就是说,ProjectA 中有一个 VM,该 VM 有一个服务帐户。它具有对 ProjectB 的跨项目访问权限,ProjectB 中有一个 IAM 成员,允许服务帐户“编辑者”访问,该成员(希望)提供对 Adwords 的访问权限(“编辑者”角色是基本的、通用的角色)。
我知道我的服务帐户 -> IAM 成员链接允许在 ProjectB 中拥有比应有的更多的访问权限。我希望通过任何可能的方式限制它。但是,我找不到任何看起来合适的内置角色,而且我无法创建自己的自定义角色,因为我找不到 Adwords 的任何底层权限。我还想知道是否有办法限制到特定的 API,但同样,在任何地方都找不到任何相关信息。
我有什么选择?如何限制 IAM 成员(仅)访问 Adwords?