Сервисный аккаунт - лучшая практика

Question

Сервисный аккаунт - лучшая практика

Некоторые вопросы об учетных записях служб и передовых практиках в GCP.

1) Я могу создать "совершенно новый" сервисный аккаунт. Как я могу убедиться, что эта новая учетная запись службы не имеет каких-либо привилегий, связанных с ней? Я спрашиваю об этом, потому что для проекта мне нужно создать несколько учетных записей служб только с одним разрешением: доступ на запись в одну корзину Google Storage. Ничего более. Как я могу гарантировать, что это единственное предоставленное разрешение и ничего больше?

2) Если я создам новый облачный проект Google для каждого имеющегося у меня клиента, например, одного проекта для каждого веб-сайта, который я буду размещать в GCP, или одного проекта компании (в данном случае моей компании) будет достаточно для хранения всех Нужны ли мои клиенты вычислительные экземпляры, хранилища и т. Д.? Управление сотнями проектов было бы излишним, если это возможно, я бы предпочел избежать этого, не влияя на безопасность.

Спасибо.

0

google-cloud-iam

Источник

user5967318 31 авг '18 в 08:57

0 ответов

Другие вопросы по тегам google-cloud-iam

user609290 03 май '19 в 03:46 2019-05-03 03:46 · Answer 1 · 2019-05-03 03:46

Вы можете ограничить разрешения учетной записи службы только для включенных служб, которые реализуют IAM (службы облачной платформы Google, включая облачное хранилище). Для сервисов, которые не поддерживают IAM, единственный способ ограничить аутентификацию учетной записи сервиса - через области OAuth.
Похоже, что проекты предоставляют более надежный периметр безопасности для вас, чтобы отделить клиентов-арендаторов Кроме того, вы получаете Принудительное разделение счетов, регистрация, аудит и т.д. Это спорно ли имеет различный уровень безопасности, чем проект с несколькими клиентов (с большим количеством ковшей и учетными записями служб), поскольку службы управления по проектам заказчика (каждый из которых владеет ведром и связанные с ними учетными записями служб) учетные записи могут быть легко расширены по проектам. Я рекомендую, какой бы путь вы ни выбрали, вы гарантируете, что контроль осуществляется программно, чтобы свести к минимуму человеческие ошибки, связанные с предоставлением учетных записей одного клиента в ведро (я) другого клиента.

НТН!