GCP 中的服务帐户范围
Scope of Service Account in GCP
我正在 GCP 项目中创建服务帐户,但朋友告诉我不要这样做,而是使用另一个项目中已经存在的服务帐户。
所以,问题是
在GCP的一个项目中创建的服务帐号可以用来访问不同项目的资源吗?或者,只对创建它的项目的资源有效?
创建服务帐户类似于向您的项目添加成员,但服务帐户属于您的应用程序而不是个人最终用户。
@dishant makwana 说的对,任何项目都可以使用Service Account,但是需要考虑一些安全因素。
根据我的经验,即使您仅在单个项目中使用您的服务帐户,您也应该只授予服务帐户所需的最低权限集。
您可以在以下link中获得更多信息:Granting minimum permissions to service accounts
另一个好的做法是为每项服务创建仅具有该服务所需权限的服务帐户。
您可以查看 this documentation 服务帐户的一些最佳做法。
此外,根据您的要求,您可以考虑创建 short-lived 凭据,以允许您使用 Google 云服务帐户的身份。
这些凭据最常见的用例是临时委托对不同项目、组织或帐户的 Google 云资源的访问。
您可以在 this link
中找到更多信息
我正在 GCP 项目中创建服务帐户,但朋友告诉我不要这样做,而是使用另一个项目中已经存在的服务帐户。
所以,问题是
在GCP的一个项目中创建的服务帐号可以用来访问不同项目的资源吗?或者,只对创建它的项目的资源有效?
创建服务帐户类似于向您的项目添加成员,但服务帐户属于您的应用程序而不是个人最终用户。
@dishant makwana 说的对,任何项目都可以使用Service Account,但是需要考虑一些安全因素。
根据我的经验,即使您仅在单个项目中使用您的服务帐户,您也应该只授予服务帐户所需的最低权限集。 您可以在以下link中获得更多信息:Granting minimum permissions to service accounts
另一个好的做法是为每项服务创建仅具有该服务所需权限的服务帐户。
您可以查看 this documentation 服务帐户的一些最佳做法。
此外,根据您的要求,您可以考虑创建 short-lived 凭据,以允许您使用 Google 云服务帐户的身份。 这些凭据最常见的用例是临时委托对不同项目、组织或帐户的 Google 云资源的访问。 您可以在 this link
中找到更多信息