Google Cloud Datastore и сервисные аккаунты: ограничение прав доступа

Фон

У меня есть проект Google Cloud с:

  • Хранилище данных (режим Firebase)
  • 2 сервисных аккаунта

У меня есть два приложения, которые используют эти учетные записи служб. Каждое приложение использует разные типы (kind1 и kind2).

Я ищу способ ограничить доступ:

  • Только сервисный аккаунт с 1 по kind1
  • Только сервисный аккаунт 2 - kind2

Вопросов

  1. Как это сделать?
  2. Можно ли определить разрешение, например readonly или writeonly? Итак, даже если учетная запись службы имеет разрешение на определенный вид, он все равно может выполнять ограниченные операции с этим видом?

google-cloud-platform google-cloud-firestore google-cloud-datastore google-cloud-iam
person No1Lives4Ever    schedule 14.01.2021    source источник

Ответы (1)


arrow_upward
1
arrow_downward

В GCP нет таких разрешений или ролей для ограничения доступа к хранилищу данных по типу. Единственный способ сделать это - управлять им в службе внутреннего приложения (Nodejs, Python ... и т. Д.).

Полный список разрешений для хранилища данных можно найти здесь [1]

[1] https://cloud.google.com/datastore/docs/access/iam#iam_roles

person Methkal Khalawi    schedule 14.01.2021