Google cloud platform AWS承担iam角色与gcp';使用私钥创建json文件
我不喜欢谷歌云平台(GCP)的一点是它围绕角色/服务帐户的安全模型不够成熟Google cloud platform AWS承担iam角色与gcp';使用私钥创建json文件,google-cloud-platform,google-iam,Google Cloud Platform,Google Iam,我不喜欢谷歌云平台(GCP)的一点是它围绕角色/服务帐户的安全模型不够成熟 在笔记本电脑上本地运行时,我需要使用JSON文件中指定的服务帐户密钥。在AWS中,我可以只扮演一个被授予访问权限的角色(无需携带私钥)。GCP是否与此类似?如身份验证入门[1]页所述,对于服务帐户,需要密钥文件才能进行身份验证 From[2]:您可以使用服务帐户或用户帐户对Google云平台(GCP)API进行身份验证,对于不需要身份验证的API,您可以使用API密钥 服务和用户帐户需要密钥文件进行身份验证。考虑到这些信
在笔记本电脑上本地运行时,我需要使用JSON文件中指定的服务帐户密钥。在AWS中,我可以只扮演一个被授予访问权限的角色(无需携带私钥)。GCP是否与此类似?如身份验证入门[1]页所述,对于服务帐户,需要密钥文件才能进行身份验证 From[2]:您可以使用服务帐户或用户帐户对Google云平台(GCP)API进行身份验证,对于不需要身份验证的API,您可以使用API密钥 服务和用户帐户需要密钥文件进行身份验证。考虑到这些信息,不使用密钥文件就无法进行本地身份验证 链接:
[1]
[2] 我将尝试回答这个问题。我有AWS安全专业(8个AWS认证),我非常了解AWS。今年我花了很多时间掌握谷歌云,重点是授权和安全。我也是阿里云的MVP安全员 AWS专注于安全性和安全特性,我既钦佩又欣赏这些特性。然而,除非您真的花时间去理解所有的小细节,否则很容易在AWS中实现糟糕/损坏的安全性。我也可以对谷歌的安全性说同样的话。谷歌拥有内置于谷歌云平台的卓越安全性。谷歌只是做得不一样,而且需要很多时间来理解所有的小功能/细节 在AWS中,您不能只承担一个角色。您首先需要AWS访问密钥或通过服务角色进行身份验证。然后您可以调用STS来承担一个角色。AWS和Google都通过AWS访问密钥/Google服务帐户简化了这一过程。AWS使用角色,而Google使用角色/范围。两种平台的最终结果都很好 Google认证基于OAuth 2.0。AWS认证基于访问密钥/密钥。两者各有长处和短处。这两种方法要么易于实现(如果你很好地理解它们),要么难以纠正 主要的云提供商(AWS、Azure、阿里巴巴、谷歌、IBM)都在快速发展,不断推出新的功能和服务。每个人都有长处和短处。如今,没有一个平台能够提供其他平台的所有功能。AWS今天在功能和市场份额方面都处于领先地位。谷歌有大量的服务,数量超过AWS,我不知道为什么这一点被忽视。其他平台正在迎头赶上,今天,您可以使用任何云平台实施企业级解决方案和安全性
今天,我们的应用程序和服务器基础设施不会只选择Microsoft或开源。2019年,我们的云基础设施将不会只选择AWS或谷歌等。我们将根据我们的需要混合和匹配每个平台的最佳服务。但您能否创建自定义范围?在aws中,我可以拥有一个/用户帐户,但它可以承担多个角色(我想我的.aws/credentials文件中仍然需要一个私钥)。所有这些角色都具有特定的自定义权限,但作用域是内置的,并且定义了对项目范围内服务的访问权限。正确吗?您构建的自定义角色类似于AWS。您获取权限(读、写、创建等)并将它们组合成您分配给用户或服务帐户的角色。在这方面,AWS和谷歌非常相似。区别在于如何部署这些credentials.Scopes。作用域是指定权限的传统方法。它们仍然在Google IAM中广泛使用。您不创建自定义作用域,而是创建自定义角色。作用域类似于具有权限集合的预定义角色。不正确。您可以创建自定义角色并将其分配给自定义或默认服务帐户。你可以(我认为)每个项目有1000个服务账户。谷歌还没有提供角色IAM权限(条件)的粒度。在AWS中,最佳做法是创建单独的帐户并合并它们。在谷歌,你创建了独立的项目,它们已经合并到一个帐户中。与AWS IMHO.Update相比,谷歌的项目/账户/组织/账单实施得更好。谷歌现在正在实施基于“身份”的访问,可以分配给单独的服务,如计算引擎VM实例、云存储对象等。这是非常强大的。