我正在尝试以安全的方式使用 Google Cloud Services。我目前通过 putenv('GOOGLE_APPLICATION_CREDENTIALS= JSON 文件的路径');提供我的凭据。请参阅 https://cloud.google.com/docs/authentication/production
我想通过将我的代码放在共享主机/虚拟 Linux 服务器上来公开测试。但是,如果我将 JSON 文件的权限设置为安全,则无法访问它们。如果我公开,我需要包含的 JSON 文件有一个纯文本的私钥。
我已经进行了一个小时的搜索,但找不到我应该如何安全地提供凭据。
你的问题没有简单的答案。
第 1 部分 - 您的主机不在 Google Cloud 上
您的主机安全吗?如果是,则可以将服务帐户 JSON 密钥放置在您的面向公众的应用程序无法访问的目录中。这里我的意思是不要将文件放在与您的网络服务器相同的目录中。使用一个位置/config,然后加强该目录的安全性,以便只有授权用户和您的应用程序才能读取该文件。
确定凭据文件的安全文件位置后,请直接在代码中指定该服务帐户。不要使用环境变量或命令行开关。不要使用GOOGLE_APPLICATION_CREDENTIALS. 一些评论是使用KMS。使用 KMS 是一个好主意,但是您遇到了先有鸡还是先有蛋的情况。您需要凭据才能使用 KMS 解密。如果不法分子可以访问您的加密凭据,他们也可以访问您的源代码,或对应用程序进行逆向工程,以查看解密方法和用于解密的服务帐户。
注意:为凭证文件指定静态位置并不是 DevOps 的最佳实践。您的问题是关于安全性而不是 CI/CD。您正在使用共享服务器,这可能意味着很多事情,并且 DevOps 可能没有集成到您的部署或系统设计中。
如果您的主机不安全,那么您就没有可行的选择。你能做的任何事情都不能阻止“熟练”的工程师扭转你的“遮蔽”方法。
第 2 部分 - 您的主机在 Google Cloud 上(Compute Engine、Cloud Run、App Engine 等)
注意:以下技术处于测试阶段。这是谷歌云授权的未来,它是基于身份的访问控制来补充基于角色的访问控制,并在某些情况下取代它。
您可以为主机分配一个具有零权限的服务帐户。请注意“分配”一词,而不是“创建”。不涉及文件。然后您可以使用基于身份的访问控制(服务账户的 IAM 成员账户 ID)来访问资源。我为 Google Cloud Run 写了两篇文章,适用于其他 Google 服务(Compute Engine、Cloud Functions、KMS、Cloud Storage、Cloud Scheduler 等):
一种解决方案是将凭证 JSON(base64 编码)的内容放入服务器配置界面上的 ENV 变量中,然后我们从 ENV 变量启动服务器清单文件。
例如:echo $CREDENTIALS | base64 -d > /path/to/cred.json,那么
export GOOGLE_APPLICATION_CREDENTIALS="*file_json_path"
您可以使用终端中的“gcloud auth application-default login”来使用最终用户凭据进行身份验证。
通过身份验证后,您可以使用任何 GCP 资源的默认服务对象。
您可以编辑 .bashrc 文件: export GOOGLE_APPLICATION_CREDENTIALS="*file_json_path" 然后使用: source .bashrc
-- Linux 薄荷 19