上下文:我们正在托管一个需要跟踪客户行为的在线商店。为了实现这种跟踪,我们根据商店中的客户行程集成了多个跟踪事件。根据欧洲的GDPR要求,我们被迫将跟踪事件发送到由我们作为公司控制的基础设施。 GDPR法律禁止通过Google Analytics(分析)标记管理器直接向Google服务器发送数据。旁注:为简化此问题,我特意省略了有关用户同意管理的所有内容。
问题陈述::我们需要每个客户端将每个跟踪事件直接从浏览器发送到Pub / Sub端点。现在,我的问题是,适当的安全性最佳实践将是什么样子。
当前建议:发布/订阅端点不需要身份验证->已为AllUsers授予发布/订阅发布者权限。此外,我还创建了一个API-KEY,仅限于
还有其他可以应用的策略吗?当前的提案是行之有效的(又是安全的)方法吗?
答案 0 :(得分:0)
不建议将发布/订阅发布者访问权限授予allUser。创建服务帐户并授予发布者访问权限,并使用该服务帐户发送消息。