我正在构建一个企业级解决方案,需要使用android / IoS Application的数千名用户。
我们使用Google Storage和Google Pub / Sub。
允许每个andriod应用程序“发布”(仅)到GOogle酒吧并直接从移动应用程序将图像上传到Google存储空间是不明智的吗?
或 我们是否应该在后端实施Google服务,并且只允许Android应用程序使用我们的终端'。
我们的后端未部署在Google App Engine中,而是部署在我们自己的coud基础架构上。
我已经实现了所有的东西。只是想知道这是一个很好的实践'如果我有10,000个移动应用程序,他们就拥有我的服务帐户.json'发布到Google Pub / Sub ...或者可能通过端点在我的后端包装该访问。
答案 0 :(得分:0)
我认为最好的方法是使用GCP service accounts。您可以使用Pub / Sub的publisher role服务帐户和Cloud Storage的objectCreator role服务帐户。或者包含两个角色的单个服务帐户。
这意味着这些或此服务帐户将成为您的云服务的IAM (Identity and Access Management)网关(发布到Pub / Sub并写入云存储)。
实际上,您必须在后端实施Cloud Service访问(如果它不在App Engine中,则可以使用Google Cloud Client Libraries或Cloud APIs连接到GCP服务),利用这些服务帐户。
<小时/>
否则,您必须在每个用户/应用程序粒度上管理access control for Pub/Sub和access control for Cloud Storage,在我看来,这将更加困难。