terraform GCE 服务帐户节

【问题标题】:terraform GCE service account stanzaterraform GCE 服务帐户节
【发布时间】:2019-04-16 21:03:25
【问题描述】:

我正在 GCP 上创建一个实例,但在使用服务帐户节时遇到了一些问题。当我这样做时:

service_account {
  email = "terraformdeploy-dev@projectxxx.org.com.iam.gserviceaccount.com"
  scopes = []
}

实例确实使用该服务帐户进行配置,但所有 Cloud API access scopes 在 UI 中显示 disabled

如果我这样做:

service_account {
  email = "terraformdeploy-dev@projectxxx.org.com.iam.gserviceaccount.com"
  scopes = ["cloud-platform"]
}

实例提供对所有 API 的完全访问权限,但奇怪的是上述服务帐户无权访问所有这些 API。我对如何在此处使用服务帐户节感到困惑,因为文档不是很清楚。

我可以只分配服务帐户,还是需要指定服务帐户及其范围?

【问题讨论】:

    标签: google-cloud-platform google-compute-engine terraform


    【解决方案1】:

    GCE 提​​供了两种方法来限制实例可以提供的 API 访问,而您正被这两种方法所困扰。一个是 GCE 实例具有一个范围,该范围将来自该机器的任何 API 请求限制到这些服务。例如,如果您的 GCE 实例不允许 GCS 写入操作,则无论与实例关联的服务帐户如何,您都无法执行 GCS 写入操作。

    您可以通过 SSH 登录,使用项目所有者帐户进行身份验证,然后尝试写入 GCS,但它会失败。这样做是为了提供额外的安全层,如果您知道“此实例组中的实例将只需要 GCS 读取和 StackDriver API 访问权限”,则主要有用。

    现在,与实例关联的服务帐户仅在客户端库或 gcloud 命令在“应用程序默认”位置查找凭据时使用。因此,如果您的应用程序包含服务帐户 json 密钥并从中读取,则关联的密钥无关紧要。

    因此,您指定的服务帐户使所有应用程序默认使用该帐户凭据执行 API 请求。

    还要记住有much more refined scopes than just 'cloud-platform'.

    【讨论】:

    • 是的...我可以很好地做到这一点,但问题是...我似乎无法正确使用 Terraform...如果我只是将 SA 放入terraform...它似乎没有将其附加到 GCE 实例...但我可以通过控制台创建实例来手动执行此操作
    • 创建一个定义了 service account.email 的实例,并且范围留空“[]”,成功创建了一个实例,并按预期禁用了所有 API,范围为零。使用服务帐户电子邮件和相关范围创建实例已启用所需的 API。您的问题是“我可以只分配服务帐户还是需要指定服务帐户及其具有的范围?”您必须关联您打算供该实例使用的范围。如果您不指定范围而不管附加的 SA 是什么,该实例将阻止对 google 服务的所有 API 调用。
    猜你喜欢
    • 1970-01-01
    • 2021-11-20
    • 2022-11-17
    • 2021-04-21
    • 2021-03-10
    • 1970-01-01
    • 2021-08-31
    • 1970-01-01
    • 2018-11-16
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode