繁体 English 中英

限制服务内的服务帐户访问

[英]Restricting service account access within a service

原文 2022-12-21 13:25:11 1 1 google-cloud-run/ service-accounts

背景：

我有 2 个服务，A 和 B，都需要访问服务 X，都在 Cloud Run 上运行。 服务 X 需要身份验证，因为 A 和 B 都有自己的服务帐户，我给了他们服务 X 的调用者角色，确保访问令牌设置在标头上，所以一切正常。

实际问题：

我想限制对服务 X 中特定 API 的访问。例如：我希望服务 A 只能使用 READ 端点，但 B 也能够使用 WRITE 端点。 有什么方法可以包含自定义范围或声明以访问 GCP 从服务帐户生成的令牌，以便我可以在 API 级别进行精细访问控制？

注意：我来自 Azure 背景，我们可以在其中设置 API 范围，并将这些范围分配给帐户。 试图了解 GCP 上是否有等效项。

1 个解决方案

在 gcp 中，我们可以在调用 API 时创建一个自定义角色服务帐户，在您的情况下，您需要创建 2 个具有自定义角色的服务帐户，一个具有查看器角色，另一个具有作家或编辑器角色。

这是一个博客，解释了创建具有自定义角色的服务帐户的过程。

拨打 API 时，请确保您使用正确的服务帐户分别执行读取和写入操作。

GCP - 存储服务帐户访问问题

[英]GCP - Storage Service Account Access Issue

查找 GCP 服务帐户在项目中绑定的资源

[英]Find Resources a GCP service account is tied to within a project

GCP 服务帐号命名

[英]GCP service account naming

“错误：禁止”即使服务帐户具有 function 权限访问

[英]"Error: Forbidden" even though service account has function permission access

GCP-IAM - 如何授予对组织中所有服务帐户的访问权限？

[英]GCP-IAM - How to grant access to all service account in organization?

GCP 限制服务帐户有条件访问单个实例

[英]GCP limit service account to have conditional access to a single instance

使用 GKE 中的工作负载身份访问服务帐户密钥 json

[英]Access Service Account key json using workload identity in GKE

AWS EKS 服务账户集群角色绑定不起作用访问被禁止

[英]AWS EKS Service account cluster role bindings not working access Forbidden

是否可以从已被授权访问 GS 存储桶的谷歌帐户授权谷歌服务帐户？

[英]is it possible to authorize google service account from google account that is already authorized to have access on GS buckets?

AWS EKS 服务账户认证

[英]AWS EKS service account authentication

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 GCP - 存储服务帐户访问问题查找 GCP 服务帐户在项目中绑定的资源 GCP 服务帐号命名 “错误：禁止”即使服务帐户具有 function 权限访问 GCP-IAM - 如何授予对组织中所有服务帐户的访问权限？ GCP 限制服务帐户有条件访问单个实例使用 GKE 中的工作负载身份访问服务帐户密钥 json AWS EKS 服务账户集群角色绑定不起作用访问被禁止是否可以从已被授权访问 GS 存储桶的谷歌帐户授权谷歌服务帐户？ AWS EKS 服务账户认证

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM