GCP - IAM:我们如何限制整个 ORG 中 GCP 项目中服务帐户的特定角色分配?
This should only be applied for user created service accounts.根据此官方文件:
限制对整个组织的 GCP 项目中的用户服务帐户的特定角色分配。您可以使用组织策略和 IAM 条件。
资源管理器提供可在组织策略中使用的约束,以限制身份和访问管理 (IAM) 服务帐户的使用。
GCP 中的 IAM 条件允许您创建角色分配规则。您可以应用条件来确保该角色仅授予用户创建的服务帐户。
注意:避免向特定用户创建的服务帐户授予所有者和编辑者角色,以便该服务仅具有最小的权限。
创建自定义组织策略,将特定角色分配限制为仅用户创建的服务帐户。创建策略时设置约束以仅允许用户创建的服务帐户。
要了解有关使用自定义组织策略的更多信息,请参阅创建和管理自定义组织策略。