#google-cloud-platform #google-cloud-kms
#google-облачная платформа #google-cloud-kms
Вопрос:
У меня есть инструмент CLI, который взаимодействует с Google KMS. Для того, чтобы это работало, я извлекаю учетные данные пользователя в виде файла JSON, который хранится на диске. Теперь появилось новое требование. Мне нужно создать веб-приложение из этого CLI-инструмента. Веб-приложение будет защищено с помощью Google Cloud IAP. Вопрос в том, как мне запустить инструмент CLI от имени пользователя, прошедшего проверку подлинности?
Ответ №1:
Вы этого не делаете. Лучше использовать учетную запись службы и назначить необходимую роль. Эта учетная запись службы по-прежнему может иметь делегирование прав по всему домену (может выдавать себя за любого пользователя, который известен).
Вероятно, также можно / следует избегать запуска инструментов CLI из веб-приложения. Возможно, было бы лучше преобразовать свой инструмент CLI в облачную функцию, а затем вызвать его через HTTP-триггер из веб-приложения (чтобы доступ к учетной записи службы был ограничен, насколько это возможно).
Это также может быть что-то пересмотреть с точки зрения безопасности:
Я извлекаю учетные данные пользователя в виде файла JSON, который хранится на диске.
Даже если бы это могло потребоваться, с учетной записью службы этого не произошло бы.