Пользовательский сервисный аккаунт для AppEngine

Я хотел бы установить отдельные разрешения для разных приложений, работающих в GCP AppEngine.

Я думаю, что способ сделать это — использовать специализированные сервисные учетные записи для каждого приложения.

Насколько я понимаю, все приложения запускаются с учетной записью службы AppEngine по умолчанию project@appspot.gserviceaccount.com

Есть ли способ явно установить учетную запись службы для приложения, работающего на AppEngine в GCP? Тогда я смогу создавать отдельные сервисные аккаунты с тонкими ограничениями доступа.

3 метода стилизации элементов HTML
3 метода стилизации элементов HTML
Когда дело доходит до применения какого-либо стиля к нашему HTML, существует три подхода: встроенный, внутренний и внешний. Предпочтительным обычно...
Формы c голосовым вводом в React с помощью Speechly
Формы c голосовым вводом в React с помощью Speechly
Пытались ли вы когда-нибудь заполнить веб-форму в области электронной коммерции, которая требует много кликов и выбора? Вас попросят заполнить дату,...
Стилизация и валидация html-формы без использования JavaScript (только HTML/CSS)
Стилизация и валидация html-формы без использования JavaScript (только HTML/CSS)
Будучи разработчиком веб-приложений, легко впасть в заблуждение, считая, что приложение без JavaScript не имеет права на жизнь. Нам становится удобно...
Flatpickr: простой модуль календаря для вашего приложения на React
Flatpickr: простой модуль календаря для вашего приложения на React
Если вы ищете пакет для быстрой интеграции календаря с выбором даты в ваше приложения, то библиотека Flatpickr отлично справится с этой задачей....
В чем разница между Promise и Observable?
В чем разница между Promise и Observable?
Разберитесь в этом вопросе, и вы значительно повысите уровень своей компетенции.
Что такое cURL в PHP? Встроенные функции и пример GET запроса
Что такое cURL в PHP? Встроенные функции и пример GET запроса
Клиент для URL-адресов, cURL, позволяет взаимодействовать с множеством различных серверов по множеству различных протоколов с синтаксисом URL.
2
0
1 565
2
Перейти к ответу Данный вопрос помечен как решенный

Ответы 2

Ответ принят как подходящий

Я предполагаю, что вы имеете в виду стандарт App Engine. У вас есть только один стандарт App Engine Standard для каждого проекта.

У вас может быть несколько сервисов в App Engine.

Вам нужно будет создать учетную запись службы, а затем загрузить учетную запись службы внутри вашего кода. Затем вы можете изменить учетную запись службы по умолчанию, чтобы иметь минимальные разрешения, необходимые для работы. Убедитесь, что вы изучаете то, что вы делаете, прежде чем менять разрешения. Вы можете сломать App Engine, наложив слишком много ограничений.

Однако это вызывает проблемы безопасности в том, как вы управляете и распространяете ключи учетной записи службы.

Если вы имеете в виду гибкий механизм App Engine. Google даже не показывает гибкую учетную запись службы в консоли, поскольку Google не хочет, чтобы вы ее изменяли.

Гибкий App Engine также использует ту же учетную запись службы по умолчанию для приложения. Другая скрытая учетная запись службы, которую использует также, используется за кулисами для оркестровки. См. cloud.google.com/appengine/docs/flexible/java/….

jon_wu 11.08.2019 20:05

@jon_wu - Почему вы разместили этот комментарий к моему ответу? В вашей ссылке есть хорошая информация, но она не относится к моему ответу и не улучшает его. Ваш комментарий, вероятно, следует перенести на вопрос, который был задан.

John Hanley 11.08.2019 20:42

Ваш ответ звучит так, будто учетная запись службы по умолчанию не применяется к гибкому App Engine и вместо этого использует другую скрытую учетную запись. Было бы полезно уточнить ответ, чтобы описать обе учетные записи службы в соответствии с моим комментарием выше.

jon_wu 11.08.2019 22:30

@jon_wu - Пожалуйста, создайте новый вопрос.

John Hanley 11.08.2019 23:41

тлдр; ты можешь сделать gcloud beta app deploy --service-account=<your_service_account> app.yaml

Идентификация приложения AppEngine больше не ограничивается учетной записью службы AppEngine по умолчанию. Теперь вы можете выполнить развертывание с настраиваемой учетной записью службы для каждого приложения AppEngine, следуя https://cloud.google.com/appengine/docs/standard/python/user-managed-service-accounts#app.yaml.

Это работает как для AppEngine Standard, так и для Flexible.

Просто обратите внимание, что вам, возможно, придется сначала обновить версии gcloud. См. документы по установке. Для меня это потребовало gcloud components update, а затем использование флага бета: gcloud beta app deploy [app.yaml]. Либо переключатель --service-acount, либо параметр service_account в yaml работали с бета.

modulus0 26.01.2022 05:55

Другие вопросы по теме