Google Cloud vs AWS службы ролей - PullRequest
Новая
       46

Google Cloud vs AWS службы ролей

0 голосов
/ 02 декабря 2018

Я пришел из AWS, но не знаю, как это сделать с помощью gcp.

В AWS я могу создать экземпляр службы EC2, Lambda, ECS и т. Д.Я присоединяю политики к этой роли, чтобы предоставить ей необходимый доступ.Затем я присоединяю роль к экземпляру EC2, лямбде и т. Д. Статические ключи не используются, секреты не передаются.

Как мне это сделать с помощью gcp?Как мне прикрепить роль (или, может быть, учетную запись службы gcp?) К экземпляру gce, облачной функции, развертыванию / обслуживанию gke и т. Д.

GCP имеет «учетные записи служб» и то, что он называет ролями, и то, что называется «области видимости ", но мне не ясно, как их прикрепить и предоставить доступ к ресурсам неявным образом (без передачи секретов / ключей).

Ответы [ 2 ]

0 голосов
/ 02 декабря 2018

Для таких сервисов, как Compute Engine, App Engine и т. Д. Google автоматически создает учетную запись службы по умолчанию .При создании экземпляра или его отключении вы можете изменить привилегии, назначенные учетной записи службы по умолчанию, или даже изменить используемую учетную запись службы.

У учетной записи службы по умолчанию есть предварительно определенное имя [PROJECT_NUMBER]-compute@developer.gserviceaccount.com

Эта ссылка предоставит дополнительную информацию.

Доступ к учетным данным, созданным учетной записью службы по умолчанию, можно получить из экземпляра метаданные .Вот пример в Python.В этом примере загружаются учетные данные учетной записи службы по умолчанию для доступа к Google Cloud Storage: 

from google.auth import compute_engine
from google.cloud import storage
credentials = compute_engine.Credentials()
client = storage.Client(credentials=credentials, project=project)

Общая стратегия заключается в использовании учетных данных приложения по умолчанию (ADC) для автоматического определения местоположения учетных данных: 

from google.cloud import storage
client = storage.Client()
0 голосов
/ 02 декабря 2018

Для виртуальной машины вам нужно будет сначала остановить ее.Вы можете выполнить следующие шаги:

  1. Создать учетную запись службы с необходимыми привилегиями, перейдя в https://console.cloud.google.com/iam-admin/serviceaccounts?project={project-id}
  2. Перейти к списку виртуальных машин.
  3. Остановить виртуальную машину
  4. Нажмите нет имени виртуальной машины.Нажмите на правку вверху.
  5. Прокрутите вниз до раздела учетной записи службы.
  6. Выберите учетную запись службы, которую вы хотите связать с виртуальной машиной.
...