Google cloud platform AWS承担iam角色与gcp'；使用私钥创建json文件

我不喜欢谷歌云平台（GCP）的一点是它围绕角色/服务帐户的安全模型不够成熟

---

在笔记本电脑上本地运行时，我需要使用JSON文件中指定的服务帐户密钥。在AWS中，我可以只扮演一个被授予访问权限的角色（无需携带私钥）。GCP是否与此类似？

如身份验证入门[1]页所述，对于服务帐户，需要密钥文件才能进行身份验证

From[2]：您可以使用服务帐户或用户帐户对Google云平台（GCP）API进行身份验证，对于不需要身份验证的API，您可以使用API密钥

服务和用户帐户需要密钥文件进行身份验证。考虑到这些信息，不使用密钥文件就无法进行本地身份验证

链接：

---

[1]

---

[2] 我将尝试回答这个问题。我有AWS安全专业（8个AWS认证），我非常了解AWS。今年我花了很多时间掌握谷歌云，重点是授权和安全。我也是阿里云的MVP安全员

AWS专注于安全性和安全特性，我既钦佩又欣赏这些特性。然而，除非您真的花时间去理解所有的小细节，否则很容易在AWS中实现糟糕/损坏的安全性。我也可以对谷歌的安全性说同样的话。谷歌拥有内置于谷歌云平台的卓越安全性。谷歌只是做得不一样，而且需要很多时间来理解所有的小功能/细节

在AWS中，您不能只承担一个角色。您首先需要AWS访问密钥或通过服务角色进行身份验证。然后您可以调用STS来承担一个角色。AWS和Google都通过AWS访问密钥/Google服务帐户简化了这一过程。AWS使用角色，而Google使用角色/范围。两种平台的最终结果都很好

Google认证基于OAuth 2.0。AWS认证基于访问密钥/密钥。两者各有长处和短处。这两种方法要么易于实现（如果你很好地理解它们），要么难以纠正

主要的云提供商（AWS、Azure、阿里巴巴、谷歌、IBM）都在快速发展，不断推出新的功能和服务。每个人都有长处和短处。如今，没有一个平台能够提供其他平台的所有功能。AWS今天在功能和市场份额方面都处于领先地位。谷歌有大量的服务，数量超过AWS，我不知道为什么这一点被忽视。其他平台正在迎头赶上，今天，您可以使用任何云平台实施企业级解决方案和安全性

---

今天，我们的应用程序和服务器基础设施不会只选择Microsoft或开源。2019年，我们的云基础设施将不会只选择AWS或谷歌等。我们将根据我们的需要混合和匹配每个平台的最佳服务。

但您能否创建自定义范围？在aws中，我可以拥有一个/用户帐户，但它可以承担多个角色（我想我的.aws/credentials文件中仍然需要一个私钥）。所有这些角色都具有特定的自定义权限，但作用域是内置的，并且定义了对项目范围内服务的访问权限。正确吗？您构建的自定义角色类似于AWS。您获取权限（读、写、创建等）并将它们组合成您分配给用户或服务帐户的角色。在这方面，AWS和谷歌非常相似。区别在于如何部署这些credentials.Scopes。作用域是指定权限的传统方法。它们仍然在Google IAM中广泛使用。您不创建自定义作用域，而是创建自定义角色。作用域类似于具有权限集合的预定义角色。不正确。您可以创建自定义角色并将其分配给自定义或默认服务帐户。你可以（我认为）每个项目有1000个服务账户。谷歌还没有提供角色IAM权限（条件）的粒度。在AWS中，最佳做法是创建单独的帐户并合并它们。在谷歌，你创建了独立的项目，它们已经合并到一个帐户中。与AWS IMHO.Update相比，谷歌的项目/账户/组织/账单实施得更好。谷歌现在正在实施基于“身份”的访问，可以分配给单独的服务，如计算引擎VM实例、云存储对象等。这是非常强大的。