組織ポリシーの制約「Domain Restricted Sharing」(ドキュメント) を有効にして、組織ドメインのみを許可するように設定するとfoo.com、多数のプラットフォーム サービス アカウントに IAM 権限が付与されなくなりますか? たとえば、ドメイン@iam.gserviceaccount.comまたは@developer.gserviceaccount.com. これらのサービス アカウントは、あらゆる場所でプロビジョニングされ、アクセス許可が付与されます。私の心配は、「ドメイン制限共有」を有効にすると、これらのアカウントが IAM アクセスをブロックされることです。
これを尋ねる別の方法は次のとおりです。「ドメイン制限付き共有」は、この種のプラットフォームベースのサービス アカウントを無視しますか? そうでなければ、例外のリストを維持するのは難しいと思います。
より基本的な質問 - 「ドメインで制限された共有」は Cloud Identity / Google Workspace アカウントにのみ適用されるので、サービス アカウントに関しては関係ありませんか?