В Google Cloud, как я могу установить разрешения на публикацию для PubSub для каждой функции?

Question

В настоящее время я работаю над проектом GCP, в котором мне нужно попытаться добиться следующего:

Мне нужно каким-то образом ограничить, какие функции GCP могут публиковать в какие темы GCP?

У кого-нибудь есть идеи, как мне этого добиться?

1006 * Спасибо,

Том Ранний

Answer 1

Облачные функции выполняются как PROJECT_ID@appspot.gserviceaccount.com и имеют разрешения для этой учетной записи службы.Поэтому, если вы хотите, чтобы разные функции имели разные разрешения, вам придется создавать их в отдельных проектах.Например, вы могли бы иметь:

• Функция abc в проекте abc-proj
• Функция xyz в проекте xyz-proj
• Паб / Подпрограммы a-topic и z-topic в проекте pubsub-proj
• Предоставить projects.topics.publish разрешение на тему a-topic (в pubsub-proj) на abc-proj@appspot.gserviceaccount.com
• Предоставить projects.topics.publish разрешение на темуz-topic (в pubsub-proj) до xyz-proj@appspot.gserviceaccount.com

И тогда у вас будет функция abc, способная к публикации в pubsub-proj/a-topic, и функция xyz, способная к публикации в pubsub-proj/z-topic, но не крест-накрест.

Answer 2

Поскольку у меня все еще нет репутации, чтобы сделать это (извините за это), я пишу новый ответ, просто чтобы все, кто может столкнуться с этим, знали, что ответ Дэвида также действителен для Cloud Run, просто заменив службуучетная запись той, которая обрабатывает вашу службу Cloud Run.

Answer 3

Когда вы хотите опубликовать сообщение, вы указываете тему, где вы будете публиковать это сообщение.Это означает, что сообщение будет опубликовано только для этой конкретной темы, но не для других тем.Вы можете посмотреть документацию, связанную с публикацией сообщений здесь , если вам нужна дополнительная помощь в публикации сообщения по определенной теме.