如何對 gcloud 項目管理員隱藏秘密?
[英]How to keep secrets hidden from gcloud project administrator?
原文
2021-09-30 12:48:07
5
1
security/
google-cloud-platform/
secret-key/
google-cloud-kms/
google-secret-manager
問題描述
我是 Google Cloud 項目的開發運營工程師和項目管理員。 組織有一些超級敏感的密鑰,應該由運行在 Kube.netes 或 Cloud Run 中的容器訪問,但我不應該訪問它們。
到目前為止,我認為 Secrets Manager 和 KMS 是可能的解決方案。 我有這個項目的管理員權限,所以這些秘密可能應該存儲在 CTO 擁有的另一個項目中並交叉引用。
另外我有監控正在運行的容器的所有權限,有什么辦法可以防止在運行時泄露給我的秘密嗎? 應該使用什么解決方案?
1 個解決方案
解決方案1
1 已采納 2021-09-30 17:11:20
如果您是項目所有者,您無法從技術上防止秘密泄露。
如果機密存儲在另一個項目中,則無法通過 UI 訪問機密。 但是,這也意味着服務帳戶可以訪問存儲在另一個項目中的秘密。 因為你是項目所有者,你可以模擬有權訪問秘密的服務帳戶,並訪問它。
解決該問題的唯一方法是最小特權原則。 只有項目的最低權限,而不是安全管理員角色。
當您必須授予服務帳戶權限時,您需要使用自動化系統,例如 CI/CD 和 terraform。 當然,每次更新都需要由另一個人審查,你不能在沒有同行審查的情況下更新 CI/CD 管道並授予自己權限(例如服務帳戶模擬)。
azure devops project項目管理員群如何獲取成員
[英]How to get members of a azure devops project project administrator group
如何使用Python的Google Cloud Client Library配置gcloud項目
[英]How to use Google Cloud Client Library for Python to configure the gcloud project
在 API 或 gcloud 的 firebase 項目中啟用登錄方法
[英]Enable sign-in methods in firebase project from API or gcloud
如何使用無服務器從 Google Secrets Manager 獲取秘密?
[英]How to get secret from Google Secrets Manager using Serverless?
如何捕獲運行“gcloud app deploy”到變量中的錯誤 (Bash)
[英]How to capture errors from running "gcloud app deploy" into a variable (Bash)
如何使用 gcloud 控制台或 firebase 工具 CLI 為新的 firebase 項目啟用 email 和密碼登錄提供程序?
[英]How to enable email and password signin provider for new firebase project using gcloud console or firebase tools CLI?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何檢查哪個 gcloud 項目處於活動狀態
azure devops project項目管理員群如何獲取成員
如何使用Python的Google Cloud Client Library配置gcloud項目
在 API 或 gcloud 的 firebase 項目中啟用登錄方法
將 gcloud 項目留在終端
如何使用無服務器從 Google Secrets Manager 獲取秘密?
如何從 SDK 訪問組織級別的“gcloud 資產”?
如何捕獲運行“gcloud app deploy”到變量中的錯誤 (Bash)
如何安裝或卸載 gcloud?
如何使用 gcloud 控制台或 firebase 工具 CLI 為新的 firebase 項目啟用 email 和密碼登錄提供程序?
相關標簽