您创建了一个需要访问 Google Pub/Sub 主题的应用程序。允许这样做的最安全方法是什么?
a:创建一个可以访问 Pub/Sub 主题的服务帐户,并将其打包到您的应用程序的容器映像中。
b:向集群中的节点授予对所有 GCP API 的访问权限,以便任何节点和 Pod 都可以访问 Pub/Sub 主题
c:创建一个可以访问 Pub/Sub 主题的服务帐户。使用它来创建一个 Secret 对象并将该密钥附加到部署中。
答案 0 :(得分:0)
c:创建一个可以访问 Pub/Sub 主题的服务帐户。使用它来创建一个 Secret 对象并将该密钥附加到部署中。
您应该选择第三个选项。这是处理此类情况的正确方法。
您不应该选择首选,因为您永远不应该将您的服务帐户令牌与您的应用程序一起打包。它的不安全感。任何可以检查图表的人都可以访问您的令牌。此外,如果您撤销 Service Account 令牌的权限,那么您之前打包的应用程序将无法访问 Pub/Sub 主题。您必须使用新令牌重新打包应用。
您不应该也选择第二个选项,因为它可以访问所有节点。因此,如果您集群的任何应用程序遭到入侵,您都可以使用它来访问您的 GCP 服务。