如何在 GCP 中为 secret 赋予角色？

Question

我正在尝试访问存储在秘密管理器中的秘密，遵循this 。 它说：

 Accessing a secret version requires the Secret Manager Secret Accessor role 
(roles/secretmanager.secretAccessor) on the secret, project, folder, or organization.
 IAM roles can't be granted on a secret version.

那么，如何将Secret Manager Secret Accessor role应用于密钥？

Answer 1

引用是指授予想要访问秘密的用户secretmanager.secretAccessor的角色。

授予角色：

1. 在 Google Cloud 控制台中，转到 IAM 页面。
2. 选择一个项目、文件夹或组织。
3. 选择要授予角色的委托人：

要将角色授予已在资源上拥有其他角色的委托人，请找到包含委托人电子邮件地址的行，单击该行中的编辑编辑委托人，然后单击添加添加另一个角色。

要将角色授予 Google 管理的服务帐户，请选中包括 Google 提供的角色授予复选框以查看其电子邮件地址。

注意：在管理对资源的访问时，您不能编辑继承的角色。 要编辑继承的角色，请转到授予该角色的资源。 要将角色授予在资源上还没有其他角色的委托人，请单击 person_add 添加，然后输入委托人的电子邮件地址。

4. 从下拉列表中选择要授予的角色。 为获得最佳安全实践，请选择仅包含您的委托人所需权限的角色。
5. 可选：为角色添加条件。
6. 单击保存。 委托人被授予该资源的角色。

在此页面中，您将找到有关管理对项目、文件夹和组织的访问权限的更多信息

Answer 2

您可能希望将角色添加到Service Account而不是secret对象

访问机密的相关操作将由具有相关角色授予权限的实体（用户或服务帐户）完成

您可以通过以下一行将相关角色添加到相关服务帐户：

gcloud projects add-iam-policy-binding  <YOUR_PROJECT_ID> --member='serviceAccount:99999999@cloudbuild.gserviceaccount.com' --role='roles/secretmanager.secretAccessor'

Answer 3

最好在最严格的级别为用户或服务帐户授予角色，在这种情况下，这应该是机密本身。 这可以按如下方式完成：

gcloud secrets add-iam-policy-binding my_secret --member='serviceAccount:my_service_account@my_project.iam.gserviceaccount.com' --project=my_project --role='roles/secretmanager.secretAccessor'