如果我在项目中创建服务帐户并将其提供给第三方,该第三方是否可以滥用它来创建VM实例等?或者它是否只允许做我明确允许的事情?
在"权限" Google开发者控制台的一部分我可以将服务帐户设置为"可以编辑"或者"可以查看",但这些是什么意思?
答案 0 :(得分:2)
如果你给"编辑"或"所有者"权限,用户可以创建,修改或删除GCE VM实例(以及其他资源)。如果你只给"查看"权限,然后他们无法创建,修改或删除GCE VM实例。
但是,您无法提供细粒度的权限,例如"用户只能编辑此VM实例,而不能编辑其他的#34;。
可以查看
提供READ访问权限:
- 可以看到您的实例的状态。
- 可以列出并获取任何资源类型。
可编辑
提供"可以查看"访问,加上:
- 可以修改实例。
- 在2012年3月22日之后发布的标准图片上,可以进入 项目的实例。
是所有者
提供"可编辑"访问,加上:
- 可以更改项目的成员资格。
根据项目团队成员获得以下权限 他们的角色:
所有项目小组成员
所有项目团队成员都可以列出存储桶 在一个项目中。
项目编辑
所有项目编辑都可以列出,创建和删除存储桶。
项目业主
所有项目所有者都可以列出,创建和删除存储桶,还可以执行管理任务,例如添加和删除团队成员以及更改结算。项目所有者组是项目中所有存储桶的所有者,无论谁可能是原始存储桶创建者。
在未指定ACL的情况下创建存储桶时,项目专用ACL会自动应用于存储桶。此ACL为团队成员提供了其他权限,如default bucket ACLs。
中所述
团队成员可能被授权拥有三种访问权限之一:
- “can View”(在App Engine控制台中称为Viewer)允许只读 访问。
“can Edit”(在App Engine Console中称为Developer)允许 修改和删除访问权限。
这允许开发人员部署 应用并修改或配置其资源。
“是所有者”(称为 App Engine Console中的所有者)允许完全管理访问。
此 包括添加成员和设置授权级别的功能 团队成员。