Существует ли максимальное количество проектов, к которым может иметь доступ учетная запись службы?

Question

Я пишу приложение, которое выполняет небольшую работу в различных проектах на gcp.Пользователь добавляет учетную запись службы (из моего проекта) по электронной почте в качестве участника политики IAM в свой проект.Затем он назначает некоторые права, и приложение может выполнять свою работу.

Приложение может расти в подключенных проектах, поэтому мой вопрос:

существует ли максимальное количество проектов, которое может иметь учетная запись службычлен?

Я прочитал, что учетные записи служб не должны создаваться для каждого пользователя, и не следует создавать их слишком много.Поэтому я не думаю, что мне нужно создавать сервисную учетную запись для каждого проекта.С другой стороны, мне кажется странным иметь учетную запись с правами на проекты разных клиентов.

Существует ли наилучшая практика для обработки учетных записей "многопроектных" служб в масштабируемом и безопасном режиме?

Answer 1

«Существует ли максимальное количество проектов, членом которых может быть учетная запись службы?»

Учетные записи служб используются для вызова API служб Google.Поскольку вы должны добавить служебную учетную запись из другого проекта (вызовите этот проект B) в качестве участника проекта (вызовите этот проект A), чтобы назначить ей роли / разрешения в проекте A, я считаю, что следующие ограничения также применимы к вашему вопросу.1005 *

Какое максимальное количество учетных записей служб может быть в проекте?

В проекте можно создать 100 учетных записей служб.Свяжитесь с менеджером своего аккаунта, если вам нужно создать более 100 сервисных аккаунтов в проекте.

Часто задаваемые вопросы по Google IAM

Вы можете создать до100 учетных записей служб для каждого проекта (включая учетную запись службы Compute Engine по умолчанию и служебную учетную запись App Engine) с использованием IAM API, консоли GCP или средства командной строки gcloud.Эти стандартные учетные записи служб и учетные записи служб, которые вы явно создаете, являются управляемыми пользователями учетными записями служб.

Учетные записи служб Google

Рекомендации

• Ограничить, кто может выступать в качестве учетных записей служб.Пользователи, которые являются учетными записями служб. Пользователи служебных учетных записей могут иметь косвенный доступ ко всем ресурсам, к которым имеет доступ учетная запись службы.Поэтому будьте осторожны при предоставлении пользователю роли serviceAccountUser.

• Предоставьте учетной записи службы только минимальный набор разрешений, необходимый для достижения своей цели.Узнайте о предоставлении ролей учетной записи службы для определенных ресурсов.

• Создайте учетные записи службы для каждой службы только с разрешениями, необходимыми для этой службы.

• Используйте отображаемое имя учетной записи службы, чтобы отслеживать учетные записи службы.При создании учетной записи службы введите ее отображаемое имя в соответствии с назначением учетной записи службы.

• Определите соглашение об именах для учетных записей службы.

• Внедрение процессов для автоматизации ротации ключей учетной записи службы, управляемой пользователями.

• Использование API учетной записи службы IAM для реализации ротации ключей.

• Аудит учетных записей и ключей служб с использованием метода serviceAccount.keys.list () или страницы просмотра журналов в консоли.

• Не удаляйте учетные записи служб, которые используютсязапуск экземпляров в Google App Engine или Google Compute Engine.

Общие сведения об учетных записях служб