Если я создаю учетную запись службы в своем проекте и передаю ее третьей стороне, может ли ее сторонняя организация использовать ее для создания экземпляров виртуальной машины и т. Д.? Или это разрешено делать только то, что я даю ему явное разрешение?Как ограничить учетную запись службы Google?
В разделе «Разрешения» консоли разработчика Google я могу установить учетную запись службы «Могу редактировать» или «Можно просмотреть», но что это значит?
Если вы даете разрешения «изменить» или «владелец», пользователь может создавать, изменять или удалять экземпляры виртуальных машин GCE (среди прочих ресурсов). Если вы предоставляете только разрешения на просмотр, то они не могут создавать, изменять или удалять экземпляры виртуальной машины GCE.
Однако вы не можете предоставлять мелкозернистые разрешения, такие как «пользователь может редактировать этот экземпляр виртуальной машины, но не этот другой».
Per Google Compute Engine docs:
Может Просмотр
предоставляет доступ для чтения:
- Можно увидеть состояние ваших экземпляров.
- Можно перечислить и получить тип ресурса.
Может редактировать
Обеспечивает "Может просматривать" доступ, а также:
- Можно изменять экземпляры.
- На стандартных изображениях, выпущенных после 22 марта 2012 года, можно использовать ssh в экземплярах проекта .
ли Владелец
Обеспечивает "Может редактировать" доступ, а также:
- Может изменить состав проекта.
Per Google Cloud Storage docs:
члены команды проекта приведены следующие права, основанные на их роли:
Все команды проекта Члены
Все проекта команда участники могут перечислить ведра в рамках проекта.
Редакторы проекта
Все редакторы проекта могут перечислить, создавать и удалять ведра.
Владельцы проекта
Все владельцы проекта могут перечислить, создавать и удалять ведра, а также может выполнять административные задачи, такие как добавление и удаление членов команды и изменения счетов. Группа владельцев проектов является владельцем всех ковшей в рамках проекта, независимо от того, кто может быть оригинальным создателем ковша.
Когда вы создаете ковш без указания ACL, ACL проекта-частного применяется к ведро автоматически. Этот ACL предоставляет дополнительные разрешения членам команды, как описано в default bucket ACLs.
Состав команды может быть разрешено иметь один из трех уровней доступа:
- «может Просмотр» (так называемый просмотра в App Engine Console) позволяет Read- только доступ.
«can Edit» (называемый Developer in App Engine Console) позволяет изменить и удалить доступ.
Это позволяет разработчику развернуть приложение и изменить или настроить его ресурсы.
«Владелец» (называется Владелец в консоли App Engine) позволяет получить полный административный доступ.
Включает в себя возможность добавления элементов и установить уровень авторизации членов команды.
Если установить учетную запись службы «Может просматривать», это может создавать другие вещи, как ведра облако хранения, экземпляры Cloud SQL? Или он не сможет ничего создать в моем проекте? – Stefan
@Stefan Разрешение «Просмотр» не позволяет пользователям или учетным записям служб изменять или создавать ресурсы, как следует из названия. Я также добавил к моему ответу цитаты из документации о разрешениях для Google Cloud Storage и Google Cloud SQL. –