如何解决将文件上传到 GCP Cloud Storage 的安全方式
我们正在制造一些机器,其中有一部分可以将相机拍摄的图像上传到 Google Cloud Storage。为此,我所做的是
- 为每台机器创建一个服务帐户。
- 创建自定义角色 权限:
storage.objects.create
storage.buckets.get
storage.objects.get
- 将此角色应用于该服务帐号。
- 下载 JSON 凭证密钥文件,并使用此文件和 python 脚本(我在其中指定存储桶名称)将图像上传到 GCP 存储。
鉴于我们每个月只运送 2-3 台机器,这种做事方式是否高效且安全?
此外,我必须将 JSON 文件与每台机器一起发送,如果上述方法有效,是否可以或有任何方法可以隐藏此密钥文件?
解决方法
你的情况没那么简单!
- 首先,如果您想在每台机器上放置一个服务帐户,您将被限制一天(每个项目限制为 100 个服务帐户)。而且使用同一个服务帐号,或者同一个key太危险了
- 其次,您的用例听起来像物联网用例,其中您有很多边缘设备与云进行通信。但 PubSub 消息最大限制为 10Mb,IoT Core 解决方案不适合您的情况。
- 最新的 2 个解决方案基于相同的原则:
- 公开端点(Cloud Run、Cloud Functions、App Engine 或任何您想要的)
- 使用您的机器及其自己的令牌(即字符串,无论是否加密)调用此端点
- 检查令牌,如果可以的话(这里有 2 个替代方案)
- 在具有机器使用最低权限的服务帐户上创建访问令牌 (short lived token),并将其发送回机器。机器将使用它来调用 Google Cloud API,例如 Cloud Storage API。此解决方案的优势在于,如果您的用例和您的机器更新需要它们,您将来可以使用访问令牌访问其他 GCP API。
- 创建一个 signedUrl 并将其发送回机器。然后机器必须将文件上传到这个 URL。优点是对 Cloud Storage 的严格限制,没有其他 GCP 服务。
最新解决方案 2 的主要问题是需要公共端点,并且您会受到攻击。您可以使用 load balancer 保护它并使用 Cloud Armor 减轻攻击。还要考虑限制公共端点的可扩展性,以防止发生攻击时产生任何无用的费用。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。