Область действия учетной записи службы в GCP

#google-cloud-platform #service-accounts

#google-облачная платформа #сервис-учетные записи

Вопрос:

Я создаю учетную запись службы в проекте в GCP, но друг сказал мне не делать этого, вместо этого использовать учетную запись службы, которая уже существует в другом проекте.

Итак, вопрос в том.

Учетная запись службы, созданная в проекте в GCP, может использоваться для доступа к ресурсам разных проектов? или она действительна только для доступа к ресурсам проекта, в котором она была создана?

Комментарии:

1. Учетная запись службы может использоваться из любого проекта, если у нее есть правильные разрешения IAM для этого проекта. Даже из-за пределов GCP. Обычно рекомендуется хранить учетные записи служб разных проектов отдельно. Для каких целей вы используете учетную запись службы?

2. у нас есть среда разработки для приложения с экземпляром redis, теперь у нас есть другое приложение, поэтому нам нужен новый экземпляр, изолированный от первого, если мы можем использовать одну и ту же учетную запись службы для обоих, кажется, проблема.

Ответ №1:

Создание учетной записи службы аналогично добавлению участника в ваш проект, но учетная запись службы принадлежит вашим приложениям, а не отдельному конечному пользователю.

@dishant makwana прав, вы можете использовать учетную запись службы в любом проекте, но вам необходимо учитывать некоторые факторы безопасности.

По моему опыту, вы должны предоставлять учетной записи службы только минимальный набор необходимых разрешений, даже если вы используете свою учетную запись службы только в одном проекте. Дополнительную информацию можно получить по следующей ссылке: Предоставление минимальных разрешений учетным записям служб

Еще одна хорошая практика — создавать учетные записи служб для каждой службы только с разрешениями, необходимыми для этой службы.

Вы можете ознакомиться с этой документацией с некоторыми рекомендациями для учетных записей служб.

Кроме того, в зависимости от ваших требований вы можете создать временные учетные данные, которые позволят вам идентифицировать учетную запись облачной службы Google. Наиболее распространенным вариантом использования этих учетных данных является временное делегирование доступа к облачным ресурсам Google различным проектам, организациям или учетным записям. Вы можете найти более подробную информацию по этой ссылке