Google cloud platform 应用程序引擎&x2013；限制部署到特定服务_Google Cloud Platform_Google Cloud Iam

Google cloud platform 应用程序引擎&x2013；限制部署到特定服务

google-cloud-platform

Google cloud platform 应用程序引擎&x2013；限制部署到特定服务,google-cloud-platform,google-cloud-iam,Google Cloud Platform,Google Cloud Iam,我们有两个服务在谷歌应用程序引擎上运行我们希望将部署仅限于默认（prod）目标的特定用户，但允许任何开发人员部署到开发人员目标无法确定它的IAM条件应用引擎似乎不是这里的官方资源类型它与服务过滤器下拉列表一致我试过使用我从gcloud app services description dev获得的名称： resource.name == 'apps/my-project/services/dev' Bt似乎也不起作用，它只是拒绝访问，所以猜测这不是正确的资源名称过滤器是否有办法

我们有两个服务在谷歌应用程序引擎上运行

我们希望将部署仅限于默认（prod）目标的特定用户，但允许任何开发人员部署到开发人员目标

无法确定它的IAM条件

应用引擎似乎不是这里的官方资源类型

它与服务过滤器下拉列表一致

我试过使用我从

gcloud app services description dev

获得的名称：

resource.name == 'apps/my-project/services/dev'

Bt似乎也不起作用，它只是拒绝访问，所以猜测这不是正确的资源名称过滤器

是否有办法如上所述限制此权限？

好的，您不能限制部署到特定服务的权限，因为用户可以为每个GCP帐户创建自定义服务

我可以提出两个选择：

为prod创建不同的GCP项目。如果您使用CLI，prod开发人员只需更改GCP项目并部署即可

在云构建中使用CICD，并且只向prod开发者授予对prod分支的合并访问权。在这种情况下，没有开发人员需要访问您的GCP项目

是在项目级别授予的，不能针对应用程序的每个不同服务进行筛选

有一个开放的特性请求，允许我建议您启动并遵循的版本的特定部署

在不同的GCP项目中分离您的产品和开发环境（我知道这有时会很不方便）可能是目前唯一可行的选择。

您能否澄清一下

用户可以为每个GCP帐户创建自定义服务是什么意思，另一个可以创建一个名为“test2”的服务。对每个服务进行访问控制的意义不大，而更多的是限制作为一个整体部署的能力。这就是整个问题，我的答案是这是不可能的。看起来像一个快速移动的功能请求..哈哈！不幸的是。功能请求没有任何ETA，也不能保证实现。理论上，产品团队根据特定线程中给定的星数和交互量对功能请求进行操作，如所述。我希望这一特定的功能要求得到重视。