我计划在一个 Google Cloud Platform 项目中运行数百个网站(使用 GKE)。他们每个人都将使用两个 Google Cloud Storage 存储桶来存储其资产。
我计划为每个网站创建一项服务,以便仅授予对其各自存储桶的访问权限。但是,每个项目有 100 个服务帐户的限制,显然无法提高。
如何确保每个网站只能访问允许查看的存储桶(或存储桶中的子路径)?
问问题
330 次
1 回答
2
我们有一个类似的用例,我相信我已经找到了解决这个问题的方法。关键是其他项目的服务帐户可以被授予访问您启用了 GCS 的项目的存储桶的权限。
基本上,您将使用两种 GCP 项目:
- 一个包含所有数据(GCS 存储桶)和您拥有的任何共享资源的主要项目,例如 Compute Engine 虚拟机或 App Engine 服务
- 每个仅持有 100 个服务帐户的多个其他项目
第二种类型的“用户池”项目的服务帐户可以被授予对您的数据项目的存储桶的精细粒度(1 个服务帐户 -> 1 个存储桶)的访问权限。当最后一个用户池接近 100 个限制时,只需创建一个新项目并开始在那里添加新的服务帐户。
于 2017-09-16T12:41:28.777 回答