如何在GCP中设置多帐户(项目),是否可以通过使用承担角色在AWS中使用,有人知道如何在Google Cloud(GCP)中做到这一点?
我试图在GCP中探索AWS等效项,但找不到任何文档。
答案 0 :(得分:0)
对于有限时间的授权令牌,OAuth 2.0 for server-to-server calls(特别是对于JWT,如果可用)是相似的。
要为跨项目(但仍在同一组织中)分配权限,可以create a custom role。
要让任何用户承担服务帐户的角色,请使用Service Account user角色。
答案 1 :(得分:0)
如所述,AWS中的AssumeRole返回一组临时安全凭证,您可以使用它们来访问通常可能无法访问的AWS资源。
在AWS中,您可以在一个账户中创建一组长期凭证。然后,您可以通过在临时帐户中扮演角色来使用临时安全凭据来访问所有其他帐户。
与GCP中的上述要求等效的是为服务帐户创建短暂的凭据,以模拟其身份(Documentation link)。
因此,在GCP中,您具有为其创建凭据的“呼叫者”和“有限特权服务帐户”。
要实施此方案,首先,请使用GCP中Service Accounts和Cloud IAM Permission Roles上的便捷文档,因为每个帐户都是具有特定角色权限的服务帐户,以便了解帐户在GCP中的工作方式。
我在上面发布的link提供了有关flows的详细信息,允许呼叫者为服务帐户和supported credential types创建短期凭证。
此外,this link可以帮助您可视化和理解GCP中的资源层次结构,并为您提供有关如何根据组织的结构来构建项目的示例。