Установить ограничение IP для учетной записи службы

Question

Сначала я использую служебную учетную запись с делегированными учетными данными, выполняющими API-интерфейс скрипта Apps, для запуска функции скрипта Google Apps из скрипта Python через клиентскую библиотеку Google Python, и она просто отлично работает.

Я хотел бы добавить для него некоторые ограничения IP-адресов, чтобы он мог выполняться только по конкретному IP-адресу.

Я попытался добавить правило брандмауэра в VPC, которое запрещает все входы с 0.0.0.0/0 и устанавливает цель для учетной записи службы. Однако запуск сценария после установки правила vpc ничем не отличается от него.
Кажется, правило брандмауэра предназначено только для экземпляра виртуальной машины, используемой учетной записью службы.

Есть ли лучший способ установить ограничение IP-адреса для учетной записи службы?

Answer 1

Вы не можете ограничить доступ к API на основе IP-адреса запрашивающей стороны только через разрешения IAM (с учетными записями служб). Поэтому нельзя настроить учетную запись службы для использования только с определенного IP-адреса.

Как уже упоминалось здесь : «это особый тип учетной записи Google, который принадлежит вашему приложению или виртуальной машине (ВМ), а не отдельному конечному пользователю». Я игнорирую причину, по которой вы пытаясь ограничить по IP, но имейте в виду, что учетная запись службы использует закрытый ключ, который не должен совместно использоваться средами / пользователями / приложениями, должен храниться в безопасном месте и должен использоваться только на серверах, на которых запущено приложение ,