Блог

У нас есть две службы, работающие на движке приложений Google.

Мы хотели бы ограничить развертывание только определенными пользователями для целевого объекта по умолчанию (prod), но разрешить любому разработчику развертываться в целевом объекте разработки.

Не могу понять условия IAM для этого.

App engine, похоже, не является официальным типом ресурсов здесь https://cloud.google.com/iam/docs/conditions-resource-attributes#resource-name

и это согласуется с раскрывающимся списком фильтр обслуживания

Я пробовал использовать имя, которое получил от gcloud app services describe dev :

 resource.name == 'apps/my-project/services/dev'
 

Bt, который, похоже, тоже не работает, он просто дает отказ в доступе, поэтому я предполагаю, что это неправильный фильтр имен ресурсов.

Есть ли способ ограничить это, как указано выше?

Разрешения App Engine предоставляются на уровне проекта и не могут быть отфильтрованы для каждой отдельной службы приложения.

Существует открытый запрос на функцию https://issuetracker.google.com/115904598 чтобы разрешить конкретные развертывания версий, которые я рекомендую вам отмечать звездочкой и следить за ними.

Разделение вашей среды разработки и разработки (я понимаю, что иногда это может быть неудобно) в разных проектах GCP может быть единственной жизнеспособной альтернативой на данный момент.

AFAIK, вы не можете ограничить разрешения на развертывание для определенной службы, поскольку пользователи могут создавать пользовательские службы для каждой учетной записи GCP.

Два варианта, которые я могу предложить:

1. Создайте другой проект GCP для prod. Если вы используете интерфейс командной строки, разработчики prod могут просто изменить проект GCP и развернуть его.
2. Используйте CICD с облачной сборкой и предоставляйте доступ к слиянию в ветку prod только разработчикам prod. Ни одному разработчику в этом случае не потребуется доступ к вашим проектам GCP.