我在Google Compute Engine(开发,登台和制作)中有多个环境,每个环境都有自己的Google Cloud SQL实例。实例connect via Cloud SQL Proxy并使用与服务帐户关联的凭据文件进行身份验证。我希望为每个环境都有一个单独的服务帐户,该帐户仅限于访问特定于该环境的SQL实例。目前,具有角色Cloud SQL Client的任何服务帐户似乎都可以访问同一项目中的任何 Cloud SQL实例。
我找不到任何方法将Cloud SQL实例的访问权限限制为特定的服务帐户。是否可能,如果可能,怎么样?如果没有,是否有不同的方法来实现防止一个环境中的服务器访问另一个环境中的Cloud SQL实例的目标?
注意:此配置适用于Google云端存储;可以指定特定服务帐户在每个存储桶上拥有各种权限,这样开发服务帐户就不会意外访问生产文件。
答案 0 :(得分:4)
不幸的是,Cloud SQL目前不支持实例级IAM策略。
唯一的解决方法是在不同的项目中托管实例。