Пользовательская учетная запись для AppEngine

Question

Я бы хотел установить отдельные разрешения для разных приложений, работающих в GCP AppEngine.

Я думаю, что способ сделать это - использовать специализированные сервисные учетные записи для каждого приложения.

Насколько я понимаю, все приложения запускаются с учетной записью службы AppEngine по умолчанию project@appspot.gserviceaccount.com

Есть ли способ явно настроить учетную запись службы для приложения, которое работает в AppEngine в GCP? Тогда я смогу создать отдельные учетные записи служб с тонкими ограничениями доступа.

Answer 1

Полагаю, вы имеете в виду App Engine Standard.У вас есть только один стандарт App Engine для каждого проекта.

Вы можете иметь несколько служб в App Engine.

Вам потребуется создать учетную запись службы, а затем загрузить учетную запись службы в свой код.Затем вы можете изменить учетную запись службы по умолчанию, чтобы иметь минимальные разрешения, необходимые для работы.Убедитесь, что вы исследуете, что делаете, прежде чем менять разрешения.Вы можете нарушить работу App Engine из-за слишком строгих ограничений.

Однако это вызывает проблемы с безопасностью при управлении и распределении ключей учетной записи службы.

Если вы имеете в виду App Engine Flexible.Google даже не отображает учетную запись Гибкой службы в консоли, поскольку Google не хочет, чтобы вы ее изменяли.