我正在编写一个在gcp上的不同项目中完成少量工作的应用程序。用户通过电子邮件将服务帐户(来自我的项目)添加为他的项目的IAM策略成员。然后他分配了一些权限,应用程序可以完成其工作。
应用程序可能会在连接的项目中增长,所以我的问题是:
服务帐户可以加入的项目数量最多吗?
我读到,不应以“每个用户”为基础创建服务帐户,并且不应创建太多服务帐户。因此,我认为我不应该为每个项目创建一个服务帐户。另一方面,对不同客户的项目拥有权利帐户对我来说很奇怪。
是否存在以可扩展和安全的方式处理“多项目”服务帐户的最佳实践?
答案 0 :(得分:0)
”“服务帐户最多可以包含一个项目吗? 的成员?”
服务帐户用于调用Google服务的API。由于您必须从另一个项目(称为项目B)中添加一个服务帐户作为项目成员(称为项目A)才能为其分配角色A /项目A,因此,我认为以下限制也适用于您的问题。 / p>
我在一个帐户中最多可以拥有多少个服务帐户 项目?
您可以在一个项目中创建100个服务帐户。与您的帐户联系 经理,如果您需要在一个帐户中创建100个以上的服务帐户 项目。
每个项目最多可以创建100个服务帐户(包括 默认的Compute Engine服务帐户和App Engine服务 帐户)使用IAM API,GCP控制台或gcloud 命令行工具。这些默认服务帐户和服务 您明确创建的帐户是用户管理的服务帐户。
最佳做法
限制谁可以充当服务帐户。作为服务帐户的用户服务帐户的用户可以间接访问该服务帐户有权访问的所有资源。因此,在向用户授予serviceAccountUser角色时要小心。
仅向服务帐户授予实现其目标所需的最小权限集。了解有关向特定资源的服务帐户授予角色的信息。
仅使用每个服务所需的权限为每个服务创建服务帐户。
使用服务帐户的显示名称来跟踪服务帐户。创建服务帐户时,请以服务帐户的目的填充其显示名称。
为您的服务帐户定义命名约定。
执行过程以自动轮换用户管理的服务帐户密钥。
利用IAM服务帐户API实施密钥轮换。
使用serviceAccount.keys.list()方法或控制台中的“日志查看器”页面来审核服务帐户和密钥。
请勿删除通过在Google App Engine或Google Compute Engine上运行实例所使用的服务帐户。