Jan*_*han 6 amazon-web-services google-cloud-platform
如何在GCP中设置多帐户(项目)?在 AWS 中可以通过使用assume-role. 有人知道如何在 Google Cloud Platform (GCP) 中执行此操作吗?
我尝试在 GCP 中探索 AWS 等效项,但找不到任何文档。
如文档所述, AWS 中的AssumeRole返回一组临时安全凭证,您可以使用这些凭证来访问您通常无法访问的 AWS 资源。
\n\n在 AWS 中,您可以在一个账户中创建一组长期凭证。然后,您可以使用临时安全凭证通过承担这些帐户中的角色来访问所有其他帐户。
\n\nGCP 中的上述内容相当于为服务帐户创建短期凭证来模拟其身份(文档链接)。
\n\n因此,在 GCP 中,您拥有 \xe2\x80\x9ccaller\xe2\x80\x9d 和 \xe2\x80\x9climited-privilege 服务帐户\xe2\x80\x9d,为其创建凭据。
\n\n要实现此场景,首先,使用有关GCP 中的服务帐户和Cloud IAM 权限角色的便捷文档(因为每个帐户都是具有特定角色权限的服务帐户),以便了解帐户在 GCP 中的工作方式。
\n\n我上面发布的链接提供了有关允许调用者为服务帐户创建短期凭据和支持的凭据类型的流程的详细信息。
\n\n此外,此链接可以帮助您可视化和理解 GCP 中的资源层次结构,并为您提供有关如何根据您的组织\xe2\x80\x99s 结构构建项目的示例。
\n基本答案是“服务角色”。提供限时服务角色。
要跨项目分配权限(但仍在同一组织中),您可以创建自定义角色。
要让任何用户承担服务帐户的角色,请使用服务帐户用户角色。
对于限时授权令牌,您可以使用用于服务器到服务器调用的 OAuth 2.0,特别是在可用的情况下使用 JWT。
| 归档时间: |
|
| 查看次数: |
10601 次 |
| 最近记录: |