Настройка подписки pub / sub для другого проекта?

Question

В моем проекте GCP (проект A ) я создал Pub / sub topi c ( topicA ) и сообщения, опубликованные в этом pub / sub topi c, нужны для использования в другом проекте GCP (проект B ) по подписке ( subscriptionB ).

Какой рекомендуемый способ настройки subscriptionB ?

1. Определите subscriptionB в проекте A и добавьте учетную запись службы из проекта B с соответствующим разрешением IAM.
2. Определите subscriptionB в проекте B. В облачной консоли можно присоединить подписку из разных топов c, предоставив pubsub.topi c .attachSubscription (показано ниже).

Возможен ли подход 2? Если да, то когда использовать подход 2 и что все должно быть сделано для подхода 2?

введите описание изображения здесь

Answer 1

Возможны 2 подхода, есть также 3-й.

1. используйте роль roles/pubsub.subscriber в сервисном аккаунте проекта B, в подписке (или проекте) проект A
2. У вас должна быть роль roles/pubsub.subscriber в топи c, которую вы хотите (или проект) в проекте A. Как определено в сообщении, вам необходимо как минимум разрешение pubsub.topics.attachSubscription на топи c (или проект). Для этого вы можете создать настраиваемую роль , если вы хотите предоставить только это разрешение, и , но не 2 другие роли roles/pubsub.subscriber
3. Третье решение - на основе решения 1 создайте подписку в проекте A, но подписку Pu sh, а pu sh сообщения для конечной точки HTTP. На этот раз в Project B аутентификация не требуется. Однако, если вы хотите защитить свою конечную точку HTTP (например, развернутую в Cloud Run или Cloud Functions), вам потребуется в подписке pu sh в проектеA, чтобы иметь правильную авторизацию для вызова конечной точки в проектеB