我正在开发一种Cloud Run Service,该服务使用以下python 3代码使用服务帐户的机密文件访问不同的Google API:
from google.oauth2 import service_account
credentials = service_account.Credentials.from_service_account_file(SECRETS_FILE_PATH, scopes=SCOPES)
为了进行部署,我在构建/部署过程中(通过gcloud builds submit和gcloud run deploy命令上传了机密文件。
如何避免这样上传机密文件?
编辑1:
我认为必须注意,我需要从GSuite / Workspace(具有域范围的委派)模拟用户帐户。我处理此问题的方法是使用上面的凭据,然后加上:
delegated_credentials = credentials.with_subject(USER_EMAIL)
答案 0 :(得分:0)
使用Secret Manager可能会对您有所帮助,因为您可以管理自己拥有的多个机密,而不必像现在一样将其存储为文件。我建议您阅读本文here,以便获得有关如何将其与Cloud Run一起使用以改善管理秘密的方式的更多信息。
此外,正如在类似情况here中所阐明的那样,您有两种选择:使用其随附的默认服务帐户或部署具有Service Admin角色的另一个服务帐户。这样,您就无需为变量指定键-正如Google开发人员在此特定的answer中所阐明的那样。
答案 1 :(得分:0)
为了提高安全性,最好的方法是永远不要在本地或GCP(I wrote an article on this)上使用服务帐户密钥文件。为此,Google Cloud服务具有一个自动加载的服务帐户,默认情况下为该帐户,或者在可能的情况下为自定义帐户。
在Cloud Run上,默认服务帐户是Compute Engine默认服务帐户(我建议您不要使用它,它在项目中具有编辑角色,范围太广!),或者您可以指定服务要使用的帐户(--service-account=参数)
然后,在您的代码中,只需使用ADC机制(应用程序默认凭据)来获取您的凭据,就像Python中这样
import google.auth
credentials, project_id = google.auth.default(scopes=SCOPES)
答案 2 :(得分:0)
我找到了解决问题的一种方法。
首先,根据guillaume blaquiere answer的建议,我使用了google.auth ADC机制:
import google.auth
credentials, project_id = google.auth.default(scopes=SCOPES)
但是,由于我需要模拟GSuite(现在是Workspace)的帐户,该方法是不够的,因为从该方法生成的credentials对象没有with_subject属性。这就引出了我类似的帖子和特定的answer,它的工作方式是将google.auth.credentials转换为service_account.Credentials.from_service_account_file返回的凭据对象。他的解决方案存在一个问题,因为似乎缺少了身份验证范围。
我要做的就是将https://www.googleapis.com/auth/cloud-platform范围添加到以下位置:
此后,我的Cloud Run可以访问无需使用密钥文件即可模拟用户帐户的凭据。