如何在 Cloud IAM 中为访问我的资源的外部服务(例如 Cloud Function)创建新成员
How can I create a new member in Cloud IAM for external services accessing my resources (eg. Cloud Function)
我有一个 Cloud IAM 限制访问的云功能。我有一个外部服务 (Auth0),它会在发生某些事情时启动挂钩。我希望那个钩子触发我的云功能。但是,该挂钩应事先通过 Cloud IAM 对其进行授权。
我想做的事情:
- 创建新成员
auth0-hooks
- 授予该成员
Cloud Function Invoker 权限
- 在挂钩的代码中,我想从 Google(元服务器?)
获取 IAM 令牌
- 在对 Cloud Function 触发器的请求中使用该令牌 URL
- 通过 Cloud IAM 和给定令牌触发访问
我目前卡在创建新成员的步骤auth0-hooks。我认为这是一个微不足道的问题,但很快就发现没有办法简单地添加一个新成员?我想创建一个服务帐户,但不确定是否可以从外部使用服务帐户(通过 google 元服务器请求它的访问令牌)?
这就是我目前卡住的地方
服务帐号是正确的方式。服务帐户是技术帐户。类似于用户帐户,但用于服务器。
您可以授予权限。当您需要从 GCP 环境外部使用此服务帐户时,您需要创建一个包含私钥的 service account key file(这是一个秘密,请妥善保管!)。使用此服务帐户密钥文件,您可以生成挂钩调用 Cloud Functions 并进行身份验证和授权所需的身份令牌。
Google Cloud Auth libraries 以多种语言为您提供帮助。
注意:元数据服务器只是 Google 云上的内部服务,外部无法访问。
我有一个 Cloud IAM 限制访问的云功能。我有一个外部服务 (Auth0),它会在发生某些事情时启动挂钩。我希望那个钩子触发我的云功能。但是,该挂钩应事先通过 Cloud IAM 对其进行授权。
我想做的事情:
- 创建新成员
auth0-hooks - 授予该成员
Cloud Function Invoker权限 - 在挂钩的代码中,我想从 Google(元服务器?) 获取 IAM 令牌
- 在对 Cloud Function 触发器的请求中使用该令牌 URL
- 通过 Cloud IAM 和给定令牌触发访问
我目前卡在创建新成员的步骤auth0-hooks。我认为这是一个微不足道的问题,但很快就发现没有办法简单地添加一个新成员?我想创建一个服务帐户,但不确定是否可以从外部使用服务帐户(通过 google 元服务器请求它的访问令牌)?
这就是我目前卡住的地方
服务帐号是正确的方式。服务帐户是技术帐户。类似于用户帐户,但用于服务器。
您可以授予权限。当您需要从 GCP 环境外部使用此服务帐户时,您需要创建一个包含私钥的 service account key file(这是一个秘密,请妥善保管!)。使用此服务帐户密钥文件,您可以生成挂钩调用 Cloud Functions 并进行身份验证和授权所需的身份令牌。
Google Cloud Auth libraries 以多种语言为您提供帮助。
注意:元数据服务器只是 Google 云上的内部服务,外部无法访问。