Google cloud platform 用于CloudRun服务端点调用的IAM ServiceAccount
我已经创建了一个CloudRun服务。它由一个我可以在外部调用的端点公开 为了保护它,我只需要提供内部连接 端点将由运行在GKE集群上的POD调用 为了只提供内部连接,您需要设置适当的IAM配置 我的问题是,我必须向谁分配适当的ServiceAccount?(哪些已被授予适当的角色)Google cloud platform 用于CloudRun服务端点调用的IAM ServiceAccount,google-cloud-platform,google-kubernetes-engine,google-cloud-run,google-iam,google-cloud-iam,Google Cloud Platform,Google Kubernetes Engine,Google Cloud Run,Google Iam,Google Cloud Iam,我已经创建了一个CloudRun服务。它由一个我可以在外部调用的端点公开 为了保护它,我只需要提供内部连接 端点将由运行在GKE集群上的POD调用 为了只提供内部连接,您需要设置适当的IAM配置 我的问题是,我必须向谁分配适当的ServiceAccount?(哪些已被授予适当的角色) 到集群本身,或者说运行k8s节点的VM?您可以在集群、节点和pod级别使用服务帐户。我将使用Kubernetes Secrets(用于粒度控制)或集群默认服务帐户来授权云运行(最简单) 除非您更改了群集配置,否则已
到集群本身,或者说运行k8s节点的VM?您可以在集群、节点和pod级别使用服务帐户。我将使用Kubernetes Secrets(用于粒度控制)或集群默认服务帐户来授权云运行(最简单) 除非您更改了群集配置,否则已经为您的群集分配了一个计算引擎默认服务帐户。您可以使用此服务帐户而无需进行其他更改,以提供访问云运行的身份 服务帐户不需要任何角色。将IAM成员添加到云运行时,授予IAM角色
角色/run.invoker
要访问受IAP保护的云运行,您需要添加一个HTTP头“authorization:bearer TOKEN”。该令牌是身份令牌。您的代码/程序必须添加此标头,因为Kubernetes不代表您这样做
您可以从节点的元数据服务器请求标识令牌。此元数据服务器提供带有服务帐户标识的标识令牌。输入服务帐户的电子邮件地址作为云运行的成员ID。您可以在集群、节点和pod级别使用服务帐户。我将使用Kubernetes Secrets(用于粒度控制)或集群默认服务帐户来授权云运行(最简单) 除非您更改了群集配置,否则已经为您的群集分配了一个计算引擎默认服务帐户。您可以使用此服务帐户而无需进行其他更改,以提供访问云运行的身份 服务帐户不需要任何角色。将IAM成员添加到云运行时,授予IAM角色
角色/run.invoker
要访问受IAP保护的云运行,您需要添加一个HTTP头“authorization:bearer TOKEN”。该令牌是身份令牌。您的代码/程序必须添加此标头,因为Kubernetes不代表您这样做
您可以从节点的元数据服务器请求标识令牌。此元数据服务器提供带有服务帐户标识的标识令牌。输入服务帐户的电子邮件地址作为云运行的成员ID