如果我在我的项目中创建了一个服务帐号并将其提供给第三方,那么第三方能否滥用它来创建虚拟机实例等?还是只允许它执行我明确授权的操作?
在Google开发者控制台的“权限”部分,我可以将服务帐号设置为“可编辑”或“只读”,但这意味着什么?
1个回答
2
如果您授予“编辑”或“所有者”权限,则用户可以创建、修改或删除GCE VM实例(以及其他资源)。如果您只授予“查看”权限,则他们无法创建、修改或删除GCE VM实例。
但是,您不能提供细粒度的权限,例如“用户只能编辑此VM实例,而不能编辑另一个VM实例”。
根据Google Compute Engine文档:
Can View
提供读取访问权限:
- 可以查看实例的状态。 - 可以列出和获取任何资源类型。
Can Edit
提供“Can View”访问权限,以及:
- 可以修改实例。 - 在2012年3月22日之后发布的标准映像中,可以ssh到项目的实例。
Is Owner 提供“Can Edit”访问权限,以及:
- 可以更改项目的成员资格。
根据Google Cloud Storage文档:
根据其角色,项目团队成员将获得以下权限:
- 所有项目团队成员:可以列出项目中的存储桶。 - 项目编辑:所有项目编辑均可列出、创建和删除存储桶。 - 项目所有者:所有项目所有者均可列出、创建和删除存储桶,并且还可以执行添加和删除团队成员以及更改计费等管理任务。项目所有者组是项目中所有存储桶的所有者,无论原始存储桶创建者是谁。
如果您在不指定ACL的情况下创建存储桶,则自动将应用项目私有ACL到存储桶。此ACL为团队成员提供了额外的权限,如默认存储桶ACL中所述。
根据Google Cloud SQL文档:
团队成员可能被授权拥有三个级别的访问权限:
- “可以查看”(在App Engine控制台中称为Viewer)只允许只读访问。 - “可以编辑”(在App Engine控制台中称为Developer)允许修改和删除访问权限。这使开发人员能够部署应用程序并修改或配置其资源。 - “是所有者”(在App Engine控制台中称为Owner)允许完全的管理访问权限。这包括添加成员和设置团队成员的授权级别。
但是,您不能提供细粒度的权限,例如“用户只能编辑此VM实例,而不能编辑另一个VM实例”。
根据Google Compute Engine文档:
Can View
提供读取访问权限:
- 可以查看实例的状态。 - 可以列出和获取任何资源类型。
Can Edit
提供“Can View”访问权限,以及:
- 可以修改实例。 - 在2012年3月22日之后发布的标准映像中,可以ssh到项目的实例。
Is Owner 提供“Can Edit”访问权限,以及:
- 可以更改项目的成员资格。
根据Google Cloud Storage文档:
根据其角色,项目团队成员将获得以下权限:
- 所有项目团队成员:可以列出项目中的存储桶。 - 项目编辑:所有项目编辑均可列出、创建和删除存储桶。 - 项目所有者:所有项目所有者均可列出、创建和删除存储桶,并且还可以执行添加和删除团队成员以及更改计费等管理任务。项目所有者组是项目中所有存储桶的所有者,无论原始存储桶创建者是谁。
如果您在不指定ACL的情况下创建存储桶,则自动将应用项目私有ACL到存储桶。此ACL为团队成员提供了额外的权限,如默认存储桶ACL中所述。
根据Google Cloud SQL文档:
团队成员可能被授权拥有三个级别的访问权限:
- “可以查看”(在App Engine控制台中称为Viewer)只允许只读访问。 - “可以编辑”(在App Engine控制台中称为Developer)允许修改和删除访问权限。这使开发人员能够部署应用程序并修改或配置其资源。 - “是所有者”(在App Engine控制台中称为Owner)允许完全的管理访问权限。这包括添加成员和设置团队成员的授权级别。
- Misha Brukman
2
如果我将服务帐户设置为“可查看”,它是否可以创建其他东西,例如Cloud Storage存储桶、Cloud SQL实例?还是它将无法在我的项目中创建任何东西? - Stefan
@Stefan,“查看”权限不允许用户或服务账户修改或创建资源,正如其名称所示。我还在我的答案中添加了有关 Google Cloud 存储和 Google Cloud SQL 权限的文档引用。 - Misha Brukman
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接