三个例子让你了解谷歌云服务账户!没有理解就无法阅读

本期文章马可君将通过三个例子,让大家快速了解谷歌云的服务账户。感兴趣的小伙伴不要错过哟!

在谷歌云上构建过应用程序的小伙伴,应该比较熟悉服务账户的概念。很多人都会把自己的应用程序或者虚拟机的特殊的谷歌账户作为一种资源。而根据他们的使用情况,谷歌也有不同的方法来管理这些服务账户,并授予他们访问资源的权限。

在本文中,马可君将介绍三个常见案例,并展示一些用于管理服务账户相应的操作模型。

案例1:访问谷歌云资源的Web应用程序

如果有用户正在通过Cloud Identity-Aware Proxy(IAP)访问授权他们的Web应用程序。它们不需要直接访问底层谷歌云资源 – 只需要使用谷歌云资源的Web应用程序。

Web应用程序使用服务帐户获取访问谷歌云服务的权限,例如,数据存储。在这种情况下,服务帐户具有1:1的Web应用程序映射 – 它是Web应用程序的标识。

首先,用户在承载Web应用程序的谷歌云项目中创建服务帐户,谷歌会授予用户的应用程序访问服务帐户的谷歌云资源所需的权限。最后,用户就可以配置自己的应用以使用服务帐户凭据。

案例2:将BigQuery使用交叉计入不同的成本中心

在这个例子中,部分用户使用自定义构建的应用程序查询共享的BigQuery数据集。由于查询必须交叉计费到用户的成本中心,因此应用程序在具有服务帐户的VM上运行,该服务帐户具有对BigQuery数据集进行查询的适当权限。

每个部门都有一组标记的项目,以便该项目中使用的资源显示在计费导出中。每个部门还必须从其分配的项目中运行应用程序,以便针对BigQuery运行的查询可以适当地交叉收费。

如果想要为每个部门的项目配置此项,在执行查询的每个项目中,谷歌就需要针对BigQuery数据集运行查询所需的IAM权限分配给应用程序的服务帐户。

案例3:管理用于操作和管理活动的服务帐户

在这种情况下,用户需要创建具有相应权限的各种服务帐户才能启用各种服务。这些服务帐户可能具有提升的权限,并在层次结构中的适当级别授予权限。与所有服务帐户一样,用户需要遵循最佳做法,以防止暴露给其他未经授权的用户。

从上面我们讨论的案例中可以看出,一种模型并不适合所有用户,大家需要采用适当的操作模型来适应自己的案例。马可君希望可以通过这篇文章分享的案例来帮助大家思考应该如何放置服务帐户的位置。

大家想了解更多有关谷歌云的信息吗?请持续关注马可君的头条号,马可君接下来会陆续给大家更新有关谷歌云的文章~

如果有任何疑问或者看法,欢迎大家在评论区交流!也欢迎大家积极点赞、转发、收藏!

原文链接:马可君带你零基础入门谷歌云:服务账户难懂?看这三个例子就够了

发表评论

您的电子邮箱地址不会被公开。

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据