php - 安全地设置 GOOGLE_APPLICATION_CREDENTIALS
问题描述
我正在尝试以安全的方式使用 Google Cloud Services。我目前通过 putenv('GOOGLE_APPLICATION_CREDENTIALS= JSON 文件的路径');提供我的凭据。请参阅 https://cloud.google.com/docs/authentication/production
我想通过将我的代码放在共享主机/虚拟 Linux 服务器上来公开测试。但是,如果我将 JSON 文件的权限设置为安全,则无法访问它们。如果我公开,我需要包含的 JSON 文件有一个纯文本的私钥。
我已经进行了一个小时的搜索,但找不到我应该如何安全地提供凭据。
- 我应该将文件放在我的服务器上的安全位置吗?
- 生产网站是否可以将公共 URL 传递给 putenv?
解决方案
你的问题没有简单的答案。
第 1 部分 - 您的主机不在 Google Cloud 上
您的主机安全吗?如果是,则可以将服务帐户 JSON 密钥放置在您的面向公众的应用程序无法访问的目录中。这里我的意思是不要将文件放在与您的网络服务器相同的目录中。使用一个位置/config,然后加强该目录的安全性,以便只有授权用户和您的应用程序才能读取该文件。
确定凭据文件的安全文件位置后,请直接在代码中指定该服务帐户。不要使用环境变量或命令行开关。不要使用GOOGLE_APPLICATION_CREDENTIALS. 一些评论是使用KMS。使用 KMS 是一个好主意,但是您遇到了先有鸡还是先有蛋的情况。您需要凭据才能使用 KMS 解密。如果不法分子可以访问您的加密凭据,他们也可以访问您的源代码,或对应用程序进行逆向工程,以查看解密方法和用于解密的服务帐户。
注意:为凭证文件指定静态位置并不是 DevOps 的最佳实践。您的问题是关于安全性而不是 CI/CD。您正在使用共享服务器,这可能意味着很多事情,并且 DevOps 可能没有集成到您的部署或系统设计中。
如果您的主机不安全,那么您就没有可行的选择。你能做的任何事情都不能阻止“熟练”的工程师扭转你的“遮蔽”方法。
第 2 部分 - 您的主机在 Google Cloud 上(Compute Engine、Cloud Run、App Engine 等)
注意:以下技术处于测试阶段。这是谷歌云授权的未来,它是基于身份的访问控制来补充基于角色的访问控制,并在某些情况下取代它。
您可以为主机分配一个具有零权限的服务帐户。请注意“分配”一词,而不是“创建”。不涉及文件。然后您可以使用基于身份的访问控制(服务账户的 IAM 成员账户 ID)来访问资源。我为 Google Cloud Run 写了两篇文章,适用于其他 Google 服务(Compute Engine、Cloud Functions、KMS、Cloud Storage、Cloud Scheduler 等):
推荐阅读
- python - 有没有办法专门从word文档中挑出一个句子
- python - 如何在python中设置小数位数?
- python - 移动仿真在 python 中找不到 xpath
- javascript - 在 React 中访问嵌套的 JSON 数据
- javascript - 在 PHP 中获取 JSON 值
- c - 不使用 fgets 打印文件中的行数
- c++ - 如何获得ORB检测OpenCV ++中的校正角度?
- android - 在android系统设置中显示提示
- javascript - 如何使用 javascript、jquery 或 css 为模式调整大小设置动画?
- java - 将信息传递给其他方法