有关GCP上的服务帐户和最佳做法的一些问题。
1)我可以创建一个“全新”服务帐户。如何确保此新服务帐户没有绑定的任何特权?我之所以这样问是因为,对于一个项目,我需要创建一个只有一个权限的多个服务帐户:写入对单个 Google存储桶的访问权限。而已。我如何确保这是唯一授予的权限,而没有其他权限?
2)我应该为我拥有的每个客户创建一个新的Google Cloud Project,例如,为将要托管到GCP的每个网站创建一个项目还是一个公司项目(在本例中为我的公司)就足够了容纳我的客户所需的所有计算实例,存储桶等? 如果可能的话,管理数百个项目将是过大的杀伤力,我宁愿避免这种情况,又不影响安全性。
谢谢。
答案 0 :(得分:0)
您只能将服务帐户权限限制为实现IAM的已启用服务(包括Cloud Storage的Google Cloud Platform服务)。对于未实现IAM的服务,限制服务帐户身份验证的唯一方法是通过OAuth范围。
出现的项目为您提供了一个更强大的安全范围,使您可以分隔租户客户。此外,您将账单,日志记录,审计等强制分离。自服务以来,管理每个客户项目(每个拥有一个存储桶和相关服务帐户)的安全性是否不同于多客户项目(具有多个存储桶和服务帐户的安全性)是否值得商bat帐户可以轻松扩展到整个项目。我建议您选择任何一条路径,以确保以编程方式进行控制,以最大程度地减少将一个客户的帐户授予另一个客户的存储桶的人为错误。
HTH!