Question

Я создал служебную учетную запись для использования с Cloud Translate API (из моего приложения) и заметил, что могу позвонить, даже если не назначил ей никаких ролей !!!

Я подтвердил ( на основе этого ответа ) с помощью gcloud projects get-iam-policy MYPROJECTID, и у использованной мной учетной записи службы нет связанных ролей ....

Я думал, что для работы учетной записи службы должна быть как минимум роль «Пользователь облачного перевода API» для работы ....

Как ограничить учетную запись службы, чтобы иметь возможность использовать только API Translate
Если это невозможно, значит ли это, что некоторые API доступны любой учетной записи службы в проекте?

Спасибо Z

Neri · Answer 1 · 15 июля 2019

Translate API v2 не интегрирован с Cloud IAM, но V3 равен , и поэтому существует Роли облачного перевода (которые также применяются для службы облачного перевода AutoML).

Относительно вопроса 1: Для служб, не интегрированных с IAM, единственным способом ограничения авторизации является использование OAuth Scopes.Таким образом, для Translation API v2 нельзя ограничивать использование учетной записи службы только этим API, если только Translate не является единственным API-интерфейсом, поддерживаемым в проекте.

Относительно вопроса 2: службы API, не интегрированные с Cloud IAM, могут бытьдоступ осуществляется с использованием только учетной записи службы, даже если у нее нет ролей (поскольку с этой службой еще не связаны роли Cloud IAM).

Учетная запись службы Google Cloud имеет доступ к API Translate без назначения ролей

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Учетная запись службы Google Cloud имеет доступ к API Translate без назначения ролей

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы