【发布时间】:2019-11-04 09:03:24
【问题描述】:
我刚开始使用 GCP,对服务帐号有一些疑问。
假设有一个由大约 4 名远程开发人员组成的团队,我们都想使用 Python API 访问 GCP 以启动实例并在其上运行东西。我的问题是每个用户都应该拥有自己的服务帐户和密钥,还是应该由所有人共享一个服务帐户?这里的预期用例是什么?
【问题讨论】:
标签: google-cloud-platform google-cloud-iam google-cloud-console
【发布时间】:2019-11-04 09:03:24
【问题描述】:
Google Cloud 服务帐户为 Google Cloud 提供身份和授权。
它们类似于用户帐户。如果您想对服务帐户的操作进行审核或记录,则需要为每个用户使用单独的服务帐户。
服务帐号通常用于软件应用程序通过 Google Cloud API 授权其操作。服务帐户用于发布 OAuth 2.0 访问令牌和可选的 OIDC 身份令牌。这些令牌为您的应用程序在 Google Cloud 中提供授权。
我的问题是每个用户都应该拥有自己的服务帐户和 密钥还是应该由所有人共享一个服务帐户?
是的,您应该向每个开发者发布单独的服务帐号 JSON 密钥文件。就像您不会共享计算机系统的用户名和密码一样,您也不会共享服务帐户。
我写了很多关于 Google Cloud Service Accounts 的文章,可以帮助您了解如何配置和使用它们:
【讨论】:
-
谢谢。一个服务帐户可以有多个密钥,还是应该是单独的帐户?
-
我认为每个服务帐户的最大密钥数是 10。但是,每个密钥将具有相同的标识。使用不同的服务帐户。服务帐户支持多个密钥的原因是服务帐户密钥轮换(一个示例)。