google-cloud-iam - 服务帐户 - 最佳实践
问题描述
关于 GCP 上的服务帐户和最佳做法的一些问题。
1)我能够创建一个“全新”服务帐户。如何确保这个新服务帐户没有绑定任何类型的权限?我问这个是因为对于一个项目,我需要创建多个只有一个权限的服务帐户:对单个Google Storage 存储桶的写入权限。而已。我怎样才能确保这是唯一授予的权限而不是其他权限?
2)我是否应该为我拥有的每个客户创建一个新的 Google Cloud 项目,例如,我将托管到 GCP 的每个网站的一个项目或单个公司项目(在这种情况下,我的公司)就足以容纳所有我的客户需要的计算实例、存储桶等?如果可能的话,管理数百个项目将是矫枉过正,我宁愿避免这种情况,而不会影响安全。
谢谢你。
解决方案
您只能将服务帐号权限限制为实现 IAM 的已启用服务(包括 Cloud Storage 在内的 Google Cloud Platform 服务)。对于不实施 IAM 的服务,限制服务帐户身份验证的唯一方法是通过 OAuth 范围。
项目似乎为您提供了一个更强大的安全边界来分隔您的租户客户。此外,您还可以强制分离计费、日志记录、审计等。自服务以来,管理每个客户项目(每个都拥有一个存储桶和相关服务帐户)是否具有与多客户项目(具有许多存储桶和服务帐户)不同的安全性是有争议的帐户可以很容易地跨项目扩展。我建议您选择哪种路径,确保以编程方式实现控制,以最大程度地减少将一个客户的帐户授予另一个客户的存储桶的人为错误。
!
推荐阅读
- html - 有没有办法只拆分一些标签分成两列?
- java - 按需创建 Java 对象
- javascript - 如何使用 JavaScript 获取文档信息
- sql - 无法在 IBM db2 上运行查询
- java - 如何将弹性查询传递给 kibana 仪表板
- c# - .net 核心中似乎不存在 Debug.Listeners
- typescript - npm-Typescript 安装
- batch-file - 如何将多个目录中的多个文件添加到 svn 更改列表中?
- typescript - WebStorm 中 TypeScript 类型的缩进
- mysql - 如何在 mysql 命令的 bash 中最好地使用声明的变量?