我想为在GCP AppEngine上运行的不同应用程序设置单独的权限。
我认为,做到这一点的方法是为每个应用程序使用专门的服务帐户。
据我了解,所有应用程序均使用AppEngine默认服务帐户project@appspot.gserviceaccount.com
运行是否可以为在GCP中的AppEngine上运行的应用程序显式设置服务帐户?这样,我便可以创建具有良好访问限制的单独服务帐户。
答案 0 :(得分:1)
我假设您的意思是App Engine标准。每个项目只有一个App Engine Standard。
您可以在App Engine下拥有多项服务。
您将需要创建一个服务帐户,然后在代码中加载该服务帐户。然后,您可以将默认服务帐户更改为具有运行所需的最低权限。在更改权限之前,请确保您研究了正在做的事情。您可以通过限制过于严格来破坏App Engine。
但是,这带来了有关如何管理和分发服务帐户密钥的安全性问题。
如果您的意思是App Engine Flexible。 Google甚至不希望在控制台中显示弹性服务帐户,因为Google不想您对其进行修改。