「サービスアカウント」にキー群が無ければそもそも設定する必要無いはずです。
Google Cloud コンソールでconstraints/iam.serviceAccountKeyExposureResponse
の設定を変更したい。
IAM.serviceAccountKeyExposureResponse 制約を WAIT_FOR_ABUSE に設定して、自動的に保護が有効にならないようにしておこうと考えました。
Google Cloud の「IAMと管理」→「組織のポリシー」と進んで
「Service account key exposure response」の右側の「︙」をクリックすると
「この操作には権限が必要です」と表示される
「IAMと管理」の「IAM」を選ぶと、プリンシパルが2件表示されます。
そこには「オーナー」と表示されているので、変更ができるように思えますが変更できません。
操作手順をご教示いただけないでしょうか。
このスプレッドシートの所有者、もしくは編集権があるユーザであれば、変更ができるのでしょうか?
Google Cloudから件名「公開されているサービス アカウント キーが自動的に無効になります」のメールが届きました。
サービスアカウントキーの漏洩レスポンス(constraints/iam.serviceAccountKeyExposureResponse)を WAIT_FOR_ABUSE モードにしようとして、Google Cloudにログインしました。
思い当たるところとしては、このスプレッドシートには当初は編集権限がありましたが、現在は「閲覧のみ」になっていて、これが『権限』がない要因かと考えています。
「サービスアカウント」にキー群が無ければそもそも設定する必要無いはずです。
@taro373
Questionerキーを使ってPythonでスプレッドシートをダウンロードしています。
もちろん、キーは公開はしていません。ですから漏洩検知に引っかかって無効化されることはないはず
なのですが....
ある時突然キーを使ったアクセスができなくなったら、このことを忘れて何が起きた?対策は?
となるのかと考えて、WAIT_FOR_ABUSE モードに設定しようと考えました。
「組織なし」のプロジェクトで「組織のポリシー」の変更はできません。
もしそのアカウントが組織レベルで運用されてるなら、Cloud IdentityかGoogle Workspaceに属せば良いだけです。
個人で運用していて、多少の出費があっても構わないのでしたらCloud IdentityにFree Editionがあるのでそちら検討してみてください。
Google Cloudを利用していますがそこまで詳しくないので、組織についてはご自身でお調べ下さい。
今回の件はそこまで大きな事には成らないと個人的に思っていますが、漏洩検知による損害の方が大きいと感じているなら組織作成を検討して下さい。
@taro373
Questionerありがとうございました 個人アカウントです
鍵の公開などしていることはない(と、思っている)ので、
「漏洩検知による損害」対策として、スプレッドシートのバックアップを
6月になったら定期的に実施しつつ様子をみます