问题标签 [google-cloud-iam]

关于 GCP 上的服务帐户和最佳做法的一些问题。

1）我能够创建一个“全新”服务帐户。如何确保这个新服务帐户没有绑定任何类型的权限？我问这个是因为对于一个项目，我需要创建多个只有一个权限的服务帐户：对单个Google Storage 存储桶的写入权限。而已。我怎样才能确保这是唯一授予的权限而不是其他权限？

2）我是否应该为我拥有的每个客户创建一个新的 Google Cloud 项目，例如，我将托管到 GCP 的每个网站的一个项目或单个公司项目（在这种情况下，我的公司）就足以容纳所有我的客户需要的计算实例、存储桶等？如果可能的话，管理数百个项目将是矫枉过正，我宁愿避免这种情况，而不会影响安全。

谢谢你。

我想轻松地让非工程师成员访问 GCS 中的数据。这里描述了如何处理 GCS 访问权限。 https://cloud.google.com/storage/docs/access-control/bucket-level-iam

我是否必须在项目中创建一个IAM，并同时将他的google帐户添加到GCS存储桶中？有没有办法让他在不为他制作 IAM 的情况下查看数据？

我正在尝试获取用户列表及其对项目的访问权限。

Http 不起作用，因为我们在防火墙后面，我只是得到一个响应not ready error。

我有一些代码...

第一个打印语句有效，但我找不到正确的语法，getIamPolicy尽管根据文档似乎确实可行。

如果其他人已经这样做了，你能给我提供完整的语法吗？

我希望从 python 脚本中执行此操作，而不是使用命令行或子进程。

谢谢，伊恩

我希望在 App Engine 中部署一个应用程序来显示存储在 BigQuery 或 Cloud Storage 中的信息，但前提是用户在 webapp 中进行了身份验证并且其在 IAM 中设置的权限允许它。

到目前为止，我可以通过“Google 登录”在 App Engine 中对用户进行身份验证，如https://cloud.google.com/appengine/docs/standard/python/oauth/中所示，但这些凭据似乎没有与 Cloud IAM 中设置的内容相关。

我已经看到如何通过服务帐户为整个 App Engine 设置凭据，但这似乎很广泛。

我真正想要的是在 Web 应用程序上对用户进行身份验证，然后让 IAM 决定是否允许这些用户访问数据。

你将如何继续这样做？

谢谢你的帮助

我想授予服务帐户对项目中每个存储桶的只读访问权限。这样做的最佳做法是什么？

这里的答案建议其中之一：

• 创建自定义 IAM 策略
• 在每个存储桶上分配 Legacy Bucket Viewer 角色
• 使用 ACL 允许bucket.get访问

这些对我来说似乎都不理想，因为：

• 授予只读访问权限似乎太常见了，需要自定义策略
• 将“Legacy”放在名称中会使此权限似乎很快就会被淘汰，并且任何新的存储桶都需要修改
• Google 推荐IAM 而不是 ACL，任何新的存储桶都需要修改

有什么方法可以避免这个bucket.get要求并且仍然可以访问存储桶中的对象吗？还是有另一种我不知道的提供访问权限的方法？

我正在尝试设置 Google Cloud Identity 以使用 GCP。但是，我被阻止注册我的企业域名，因为它“已被其他 Google 服务使用”，在本例中为 Google Analytics 和 adwords。

有没有人遇到过这个以及如何解决它？

干杯邓肯

我正在使用Google Cloud IAP（身份识别代理）来限制对在不同子域（ 、 等）上运行的多个服务的a.mycompany.com访问b.mycompany.com。

当我登录 时a.mycompany.com，我希望它也能登录b.mycompany.com。当我通过这些 URL 之一进行身份验证时，我set-cookie会在最终重定向中看到此标头：

我的理解是，我可以通过向其添加 domain=子句来共享此 cookie。是否可以使用 GCP IAP 执行此操作？

我gsutil rsync在我的 Jenkins 实例中使用将代码部署到作曲家，我希望能够将代码部署到不同的项目（生产、登台、开发......）。使用时gcloud，我唯一需要做的就是提供--account参数以选择允许 Jenkins 执行此操作但似乎gsutils仅适用于配置文件的服务帐户，并且当多个作业同时运行时会产生竞争条件，因为它都将取决于gcloud config.

有没有办法指定 Google Cloud 必须使用哪个帐户gsutil？

我正在尝试使用 Google Cloud Storage JSON API 通过 http 调用从存储桶中检索文件。

我正在从与存储桶相同的项目中的 GCE 中的容器中卷曲，并且服务帐户具有对存储桶的读取权限

这是请求的模式：

根据 API 控制台，我不需要任何特别的东西，因为服务帐户提供了应用程序默认凭据。但是，我一直有这个：

我还尝试为该项目创建一个 API 密钥并将其附加到 url ( https://storage.googleapis.com/{bucket}/{object}?key={key}) 但我仍然遇到相同的 401 错误。

如何授权查询此 API 的请求？

使用 App Engine 在 GCP 中运行并受 IAP 保护的应用。据我所知，IAP 使用 OAuth，但是当我在浏览器中打开应用程序并检查传出的 XHR 请求时，我看不到其中任何一个 HTTP 授权标头。不过，cookie 中似乎确实有一个令牌，名为 GCP_IAAP_AUTH_TOKEN。只是想知道这是否仍被视为 OAuth 还是其他形式的身份验证？