我可以将 Google Cloud SQL 实例的访问权限限制为特定的服务帐号吗?

【问题标题】:Can I restrict access to a Google Cloud SQL instance to specific service account?我可以将 Google Cloud SQL 实例的访问权限限制为特定的服务帐号吗?
【发布时间】:2017-09-28 15:43:25
【问题描述】:

我在 Google Compute Engine 中有多个环境(开发、暂存和生产),每个环境都有自己的 Google Cloud SQL 实例。实例connect via Cloud SQL Proxy 并使用与服务帐户绑定的凭据文件进行身份验证。我想为每个环境都有一个单独的服务帐户,这将被限制为访问特定于该环境的 SQL 实例。目前,角色为Cloud SQL Client任何服务帐户似乎可以访问同一项目中的任何 Cloud SQL 实例。

我找不到任何方法将 Cloud SQL 实例的访问权限限制为特定服务帐号。有可能吗,如果有,怎么做?如果没有,是否有其他方法可以实现防止一个环境中的服务器访问另一个环境中的 Cloud SQL 实例的目标?

注意:此配置可通过 Google Cloud Storage 进行;可以分配一个特定的服务帐户对每个存储桶拥有各种权限,这样开发服务帐户就不会意外访问生产文件。

【问题讨论】:

    标签: google-compute-engine google-cloud-sql google-cloud-iam


    【解决方案1】:

    很遗憾,Cloud SQL 目前不支持实例级 IAM 政策。

    唯一的解决方法是将实例托管在不同的项目中。

    【讨论】:

    • 谢谢。为同一个应用程序管理多个项目似乎可能会引入其他问题。有没有办法为 Cloud SQL 请求实例级 IAM 策略?
    • 您可以在 Cloud SQL 问题跟踪器上提交功能请求:cloud.google.com/support/docs/issue-trackers
    • 有谁知道现在还是这样吗?
    • @jreptak 你可以在这里关注状态issuetracker.google.com/issues/68765990
    • 我最初接受了这个答案,但在最新版本的 Google Cloud SQL 中,您可以使用条件 IAM 来限制访问,如新接受的答案中所述。
    【解决方案2】:

    截至August 2021 release of Google Cloud SQL

    您可以使用 IAM 条件为 Google Cloud 资源(包括 Cloud SQL 实例)定义和实施有条件的、基于属性的访问控制

    有关如何将用户或服务帐号限制为特定 Cloud SQL 实例的信息,请参阅 documentation for IAM Conditions

    【讨论】:

      猜你喜欢
      • 2020-04-27
      • 2021-04-19
      • 1970-01-01
      • 1970-01-01
      • 2018-11-22
      • 1970-01-01
      • 1970-01-01
      • 2019-03-23
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode