Contas de serviço do Google Cloud com permissões limitadas?

1

Eu preciso usar uma conta de serviço para que um dos meus scripts crie instantâneos de disco regulares. Parece que tem que dar a esta conta de serviço o papel de "EDITOR", por isso tem acesso de escrita.

O que não estou vendo é uma maneira de limitar essas contas a instantâneos. Se um invasor puder acessar as chaves dessa conta de serviço, ele poderá excluir os discos, excluir os recursos de computação e assim por diante.

Tenho certeza de que estou sentindo falta de algo aqui. Onde na interface do usuário posso configurar as permissões?

    
por miracle2k 06.01.2017 / 21:24

1 resposta

3

Esta é uma boa pergunta, portanto, forneço as etapas para criar uma função personalizada para sua conta de serviço para permitir a criação de instantâneos apenas.

Em seu Google Cloud Console , vá para IAM & Admin , no menu à esquerda, clique em Roles , agora na lista de papéis, ache Compute Storage Admin :

CliqueemCreaterolefromthisrole,nomeieanovafunção,porexemplo,ComputeSnapshotCreator.Nalistadepermissões,removaaspermissõesquenãosãodesejáveisparaoseucasodeuso(comocompute.x.delete,compute.x.resize,compute.images.x,etc).

Salvesuafunçãopersonalizadaeatribua-aàcontadeserviço.

ParamaisinformaçõessobreIdentityandAccessManagement(IAM)Roles,visite este artigo .

    
por 15.01.2017 / 21:02