我计划在一个Google Cloud Platform项目中运行数百个网站(使用GKE)。他们每个人都会使用两个Google云端存储分区存储其资产。
我计划为每个网站创建一个服务,以便只授予对其各自存储桶的访问权限。但是,每个项目的服务帐户限制为100个,显然无法提高。
如何确保每个网站只能访问允许查看的存储桶(或存储桶中的子路径)?
答案 0 :(得分:1)
我们有一个类似的用例,我相信我已经找到了解决这个问题的方法。关键是来自其他项目的服务帐户可以访问启用GCS的项目的存储桶。
基本上,您将使用两种GCP项目:
来自第二类"用户池的服务帐户"项目可以通过精细的粒度(1个服务帐户 - > 1个存储桶)访问数据项目的存储区。当最后一个用户池接近100限制时,只需创建一个新项目并开始在那里添加新服务帐户。