1

起初,我使用具有执行 Apps Script API 的委托凭据的服务帐户,通过 Google 的 Python 客户端库从 Python 脚本运行 Google Apps Script 上的函数,它运行良好。

我想为其添加一些IP限制,以确保它只能由特定IP执行。

我尝试在 VPC 中添加防火墙规则,该规则拒绝来自 0.0.0.0/0 的所有入口并将目标设置为服务帐户。但是,在设置 vpc 规则之后运行脚本与之前没有什么不同。
防火墙规则似乎只针对服务帐户使用的 VM 实例。

有没有更好的方法来为服务帐户设置 IP 限制?

4

1 回答 1

1

您不能根据请求者 IP 限制对 API 的访问,只能通过 IAM 权限(使用服务账户)。因此,您不能将服务帐户配置为仅从特定 IP 地址使用。

如此处所述:“是一种特殊类型的 Google 帐户,属于您的应用程序或虚拟机 (VM),而不是个人最终用户。” 我忽略了您希望通过 IP 进行限制的原因,但请记住,服务帐户使用不应在环境/用户/应用程序之间共享的私钥,应存储在安全的地方,并且只能在运行应用程序的服务器。

于 2018-10-15T17:14:19.327 回答