问题标签 [google-iam]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
google-cloud-functions - 使用服务帐号/IAM 对 Google Cloud Functions 进行身份验证
一个 Google Cloud 函数(后台函数)能否向另一个函数(HTTP 函数)发出 HTTP 请求,并通过使用 Google IAM 服务帐户提供一些东西来保证数据来自前一个函数(即没有被篡改)或类似的东西?
道歉 - 不是最清楚的问题......
编辑 1:我们不能为此使用 pub/sub,因为它会使我们的内部基础设施非常复杂
编辑2:背景:
问题是 HTTP 函数正在运行我们的主 API(使用 Apollo Server - 找不到在同一函数内部使用 Apollo Server 的方法 [理想解决方案] &因此必须通过 HTTP 公开它)所以我们正在制作多个我们需要响应的对此 API 函数的调用次数。如果我们使用 pub/sub 代替,我们将不得不将后台函数分解为 3+ 个函数,以允许我们使用响应,这将使其无法管理并增加成本(调用、pub/sub 流量等)。仅供参考,有 30 多个不同的后台函数都在与 API 对话。
google-cloud-platform - 从具有授权服务帐户的 GCP 实例上的容器中的代码“获取应用程序默认凭据时出现意外错误”
我曾期望使用服务帐户在授权 GCP 主机上运行的容器将具有与主机相同的服务帐户权限。但情况似乎并非如此。引发此异常的应用程序是使用 pubsub 和 KMS API 的节点应用程序。
我知道我可以使用 GOOGLE_APPLICATION_CREDENTIALS 等,但我不想这样做,我想依赖服务帐户权限。
我在“Ubuntu 18.04 LTS 最小”主机和基于“Ubuntu 16.04”的容器中看到了这一点。我认为我在使用 18.04 之前从未见过它
google-cloud-platform - 如何创建具有多个项目权限的 GCP 服务帐户?
我们在 GCP 中有 20 多个项目,并希望使用gcloud projects list和自动监视他们的 GCE VM 实例gcloud compute instances list。
所以我想要一个可以访问这些项目的服务帐户。
有没有简单的方法来创建这样的服务帐户?
我可以按项目创建 IAM,但这太难了……
google-cloud-platform - Google Cloud:如何将服务用户的角色添加到单个存储桶?
我创建了一个服务用户:
我给了他对 Cloud Storage 的完全访问权限:
此代码有效:
但是我的项目有多个用于不同环境的存储桶,出于安全原因,我只想为每个用户 添加一个存储桶的访问权限。
在文档中我发现了这段文字:
当应用于单个存储桶时,控制仅适用于指定的存储桶和存储桶内的对象。
如何应用roles/storage.admin到单个存储桶?
更新:
我尝试了 ACL,但有一个问题:我添加了对用户的访问权限:
用户可以列出所有文件、添加文件、创建文件、查看自己的文件。
但是用户不能查看其他用户的文件。
更新 2:
我更新了默认 ACL:
我等了很长时间,由另一个用户创建了另一个文件,但test01.
解决方案:
我从头开始制作它,它可以工作:
google-cloud-platform - 服务帐户可以访问的项目数量是否有上限?
我正在编写一个应用程序,该应用程序在 gcp 上的不同项目中完成一项小工作。用户通过电子邮件将服务帐户(来自我的项目)作为 IAM 策略中的成员添加到他的项目。然后他分配一些权限,应用程序就可以完成它的工作。
该应用程序可以在连接的项目中增长,所以我的问题是:
服务帐户可以加入的项目数量是否有上限?
我读到不应该在“每个用户”的基础上创建服务帐户,也不应该创建太多服务帐户。所以我认为我不应该为每个项目创建一个服务帐户。另一方面,对我来说,拥有一个拥有不同客户项目权利的帐户似乎很奇怪。
是否有以可扩展且安全的方式处理“多项目”服务帐户的最佳实践?
google-cloud-platform - 谷歌云:如何列出授予用户或服务帐户的权限?
是否可以获得已授予用户或 GCP 服务帐户的所有权限的列表(具体地或过渡性地),理想情况下是通过资源、通过gcloud或 Web UI 过滤?
google-app-engine - GC Cloud Build 通过内部 IP 访问 Compute Engine
我尝试在 AppEngine 上部署我的 Python 应用程序。在部署期间,我必须从 GC Compute Engine 实例上的私有存储库下载依赖项。我已将所有需要的行添加到 requirements.txt 中,当我使用我的私有存储库的外部 IP 时它可以工作。但是使用内部IP要好得多。在 GC IAM 系统中,我已经更改了 Cloud Build 帐户和 AppEngine 帐户的权限,但它仍然不起作用并显示连接超时。也许你可以帮忙。
提前致谢!
google-cloud-platform - Google IAM 用于对最终用户进行身份验证?
我想知道您是否可以使用 Google IAM 对我托管的网站的用户进行身份验证,还是仅用于允许开发人员类型访问云中的项目?我找不到明确的答案。
python - Python BigQuery 脚本 bigquery.jobs.create 错误
我正在尝试通过 python 脚本在 Google BigQuery 上运行一个简单的查询,但我收到以下错误,即我的服务帐户缺少bigquery.jobs.create权限。
我的服务帐户应用了以下角色:
- 所有者
- BigQuery 管理员
- BigQuery 作业用户
我还尝试使用服务帐户创建自定义角色bigquery.jobs.create并将其应用于服务帐户,但仍然始终出现此错误。我究竟做错了什么?
拒绝访问:项目 my-test-project:用户 my-service-account@my-test-project。iam.gserviceaccount.com 在项目 my-test-project 中没有 bigquery.jobs.create 权限。
python - 如何授予 BigQuery 作业创建权限?
如何授予正确的权限,以便我可以在 BigQuery 上使用 Python sdk 运行查询?