如何解决代表用户使用Google Cloud KMS
我有一个与Google KMS交互的CLI工具。为了使其正常工作,我将用户凭据作为存储在磁盘上的JSON文件获取。现在出现了新的要求。我需要使用此CLI工具制作一个Web应用程序。该网络应用将通过Google Cloud IAP受保护。问题是,如何代表经过身份验证的用户运行CLI工具?
解决方法
你不知道。更好地使用服务帐户并分配所需的角色。该服务帐户仍然可以具有域范围的权限委派(可以模拟任何已知的用户)。
也可能/应该避免从Web应用程序运行CLI工具。最好将其CLI工具转换为Cloud Function,然后从Web应用程序内部通过HTTP触发器调用它(以便尽可能限制对服务帐户的访问)。
从安全角度考虑,这也可能需要重新考虑:
我以存储在磁盘上的JSON文件的形式获取用户凭据。
即使有必要,也不需要服务帐户。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
