Как ограничить доступ к учетной записи службы в G Suite?

Question

Я создал служебную учетную запись для своего домена gsuite, которую я буду использовать для доступа к одному пользователю G Drive для создания там резервных копий.

Чтобы избежать проблем безопасности, мне, конечно, нужно как-то убедиться, что сервисная учетная запись может получить доступ только к этим указанным c данным пользователей, и только к их GDrive, и ничего больше. А также желательно, чтобы его можно было использовать только для записи, а не для удаления каких-либо файлов. (Конечно, я мог бы использовать общий диск для этого, но это может быть невозможно с моим клиентом (rclone через linux), я пока не уверен.)

Как мне выполнить sh это? Заранее спасибо за любую помощь!

Answer 1

Если вы предоставляете делегирование учетной записи службы для всего домена, вы можете выдавать себя за любого пользователя в домене. Учетная запись службы может получать доступ к тем же ресурсам, что и пользователь, под которым она выдает себя, как указано здесь . И, конечно, он не сможет получить доступ к ресурсам, к которым олицетворенный пользователь не сможет получить доступ.

Если ваш вопрос заключается в том, можете ли вы запретить учетной записи службы выдавать себя за некоторых пользователей, это невозможно. Любой пользователь, имеющий доступ к учетной записи службы, может выдавать себя за любого пользователя в домене, необходимо указывать только адрес электронной почты.

Кроме того, для областей, областей для создания новых файлов ( Файлы: создать ) аналогичны их удалению ( Файлы: delete ), поэтому нельзя разрешить одно и запретить другое.

Ссылка:

• Передача полномочий на уровне домена учетной записи службы

Надеюсь, это поможет.

Answer 2

Вы не можете ограничить учетную запись службы. Как только вы включите делегирование по всему домену для учетной записи службы, он получит полномочия администратора на всю учетную запись G Suite. Единственным вариантом является использование OAuth 2.0 с учетными данными учетной записи пользователя и применение областей.