Google cloud platform 如何安全地存储和管理Google云存储密钥（json文件）

我正在写一个应用程序，我必须上传媒体文件到地面军事系统。因此，我创建了一个存储桶，还创建了一个服务帐户，应用程序正在使用该帐户从存储桶中放置和获取图像。要从应用程序访问此服务帐户，我必须生成一个私钥作为JSON文件

我测试了我的代码，它运行良好。现在，我想将此代码推送到我的Github存储库，但我不希望此服务帐户密钥位于Github中

我如何设法保守此服务帐户密钥的秘密，而我的所有同事都应该能够使用它

---

我将把我的应用程序放在GCP容器实例上，我希望它也能在那里工作。

据我所知，如果您的应用程序从GCP内部工作并使用一些自定义服务帐户，您可能根本不需要任何私钥（如json文件）

应用程序使用的自定义服务帐户应在相应的GCS存储桶上获得相关IAM角色/权限。这就是你可能需要做的

---

您可以手动（通过UI控制台）或使用CLI命令，或作为部署CI/CD管道的一部分，分配这些IAM角色/权限。

据我所知，如果您的应用程序从GCP内部工作并使用一些自定义服务帐户，您可能根本不需要任何私钥（作为json文件）

应用程序使用的自定义服务帐户应在相应的GCS存储桶上获得相关IAM角色/权限。这就是你可能需要做的

---

您可以手动（通过UI控制台）或使用CLI命令，或作为部署CI/CD管道的一部分，分配这些IAM角色/权限。

如果您要将应用程序放入在GCP上运行的容器（带有VM），则无需拥有服务帐户的JSON密钥文件。只需将服务帐户用作VM服务帐户。如果你想在本地测试它，你需要一个JSON密钥文件；你可以把它放在机密管理器中。你可以在使用凭据的地方共享代码吗？我将更新它，并向您解释如何避免使用服务帐户密钥文件！如果您将应用程序放在一个运行在GCP上的容器中（带有一个VM），那么就不需要服务帐户的JSON密钥文件。只需将服务帐户用作VM服务帐户。如果你想在本地测试它，你需要一个JSON密钥文件；你可以把它放在机密管理器中。你可以在使用凭据的地方共享代码吗？我将更新它，并向您解释如何避免使用服务帐户密钥文件！