Google Cloud资源的访问安全中,服务账户的传递访问是一个常见漏洞。用户通过服务账户身份验证后,将获得该账户的所有IAM权限。传递访问通常通过以下权限实现:iam.serviceAccounts.actAs、iam.serviceAccounts.getAccessToken等。检测传递访问需使用Google Policy Analyzer,并设置analysisQuery.options.analyzeServiceAccountImpersonation为true。此外,避免创建服务账户密钥是减少传递访问风险的最佳实践。P0工具可帮助快速识别资源的所有访问权限并进行风险评估。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。