【发布时间】:2023-04-08 12:10:01
【问题描述】:
我不喜欢 Google Cloud Platform (GCP) 的一点是其围绕角色/服务帐户的内置安全模型较少。
在我的笔记本电脑上本地运行,我需要使用 JSON 文件中指定的服务帐户密钥。在 AWS 中,我可以只担任一个我已被授予访问权限的角色(无需携带私钥)。 GCP 有类似的东西吗?
【问题讨论】:
标签: google-cloud-platform google-iam
【发布时间】:2023-04-08 12:10:01
【问题描述】:
我将尝试回答这个问题。我拥有 AWS Security Specialty(8 个 AWS 认证)并且我非常了解 AWS。今年我投入了大量时间来掌握 Google Cloud,重点是授权和安全性。我也是阿里云的 MVP Security。
AWS 专注于我欣赏和欣赏的安全性和安全性功能。但是,除非您真的花时间了解所有的小细节,否则很容易在 AWS 中实施较差/损坏的安全性。关于 Google 安全性,我也可以这么说。 Google 在 Google Cloud Platform 中内置了出色的安全性。谷歌只是做的不同,也需要很多时间来理解所有的小功能/细节。
在 AWS 中,您不能只担任一个角色。您首先需要 AWS 访问密钥或通过服务角色进行身份验证。然后你可以调用 STS 来承担角色。 AWS 和 Google 都使用 AWS 访问密钥/Google 服务帐户轻松实现这一目标。 AWS 使用角色,而 Google 使用角色/范围。最终结果在任一平台上都很好。
Google 身份验证基于 OAuth 2.0。 AWS 身份验证基于访问密钥/秘密密钥。两者都有自己的长处和短处。两者都可以很容易实现(如果您很好地理解它们)或很难正确。
主要的云服务提供商(AWS、Azure、阿里巴巴、谷歌、IBM)正在快速发展,不断推出新功能和服务。每个人都有优点和缺点。今天,没有一个平台可以提供其他平台的所有功能。今天的 AWS 在功能和市场份额方面都处于领先地位。谷歌拥有大量超过 AWS 的服务,我不知道为什么会忽略这一点。其他平台正在迅速追赶,今天,您可以使用任何云平台实施企业级解决方案和安全性。
今天,我们不会只为我们的应用程序和服务器基础架构选择 Microsoft 或只选择开源。 2019 年,我们的云基础设施不会只选择 AWS 或只选择 Google 等。我们将根据我们的需求混合和匹配来自每个平台的最佳服务。
【讨论】:
-
但是您可以创建自定义范围吗?在 aws 中,我可以拥有一个/用户帐户,但它可以承担多个角色(我想我的 .aws/credentials 文件中仍然需要一个私钥)。所有这些角色都有特定的自定义权限,但范围是内置的,并且定义了对项目范围服务的访问权限是否正确?
-
您可以构建类似于 AWS 的自定义角色。您获取权限(读取、写入、创建等)并将它们组合成您分配给用户或服务帐户的角色。在这方面,AWS 和谷歌非常相似。不同之处在于您部署这些凭据的方式。
-
范围。范围是指定权限的传统方法。它们仍在 Google IAM 中广泛使用。您不创建自定义范围,而是创建自定义角色。范围类似于具有权限集合的预定义角色。
-
不正确。您创建自定义角色并将它们分配给自定义或默认服务帐户。您可以(我认为)每个项目有 1,000 个服务帐户。 Google 尚未提供角色的 IAM 权限(条件)粒度。在 AWS 中,最佳实践是创建单独的账户并将它们合并。在 Google 中,您创建单独的项目,并且它们已经合并到一个帐户下。与 AWS 恕我直言,Google 的项目/帐户/组织/计费实施得更好。
-
更新我的最后一条评论。 Google 现在正在实施基于“身份”的访问权限,可以将其分配给单个服务,例如计算引擎 VM 实例、云存储对象等。这非常强大。
如“身份验证入门”[1] 页面中所述,对于服务帐户,需要密钥文件才能进行身份验证。
来自 [2]:您可以使用服务帐户或用户帐户对 Google Cloud Platform (GCP) API 进行身份验证,对于不需要身份验证的 API,您可以使用 API 密钥。
服务和用户帐户需要密钥文件进行身份验证。考虑到这些信息,如果不使用密钥文件,就无法进行本地身份验证。
链接:
[1]https://cloud.google.com/docs/authentication/getting-started [2]https://cloud.google.com/docs/authentication/
【讨论】: