我正在GCP项目中创建服务帐户,但是一位朋友告诉我不要这样做,而要使用另一个项目中已经存在的服务帐户。
所以,问题是。
在GCP中的项目中创建的服务帐户可用于访问不同项目的资源?或者,仅访问创建该项目的项目的资源有效吗?
答案 0 :(得分:1)
创建服务帐户类似于向项目中添加成员,但是该服务帐户属于您的应用程序,而不是单个最终用户。
@dishant makwana是正确的,您可以在任何项目中使用服务帐户,但需要考虑一些安全因素。
根据我的经验,即使您仅在单个项目中使用服务帐户,也应仅向服务帐户授予所需的最小权限集。 您可以通过以下链接获取更多信息:Granting minimum permissions to service accounts
另一种好的做法是,仅使用该服务所需的权限为每个服务创建服务帐户。
您可以使用有关服务帐户的一些最佳做法来检查this documentation。
此外,根据您的要求,您可以考虑创建短暂的凭据,以使您能够假定Google Cloud服务帐户的身份。 这些凭证最常见的用例是临时委派不同项目,组织或帐户对Google Cloud资源的访问。 您可以在this link
中找到更多信息。