Google cloud platform 谷歌云-如何通过标签或名称授予对一组机密的访问权限?
我希望能够基于命名约定,或者更好的基于标签,授予谷歌云服务帐户访问多个秘密的权限 到目前为止,GCP似乎只提供基于组织、文件夹、项目或机密级别的访问权限,除此之外,您无法对IAM的设置进行更细致的了解 我想也许GCP会让我在这里有更多的灵活性,但我也没有任何运气。使用下面的地形-我的SA仍然可以访问项目级别的所有机密Google cloud platform 谷歌云-如何通过标签或名称授予对一组机密的访问权限?,google-cloud-platform,terraform-provider-gcp,google-secret-manager,Google Cloud Platform,Terraform Provider Gcp,Google Secret Manager,我希望能够基于命名约定,或者更好的基于标签,授予谷歌云服务帐户访问多个秘密的权限 到目前为止,GCP似乎只提供基于组织、文件夹、项目或机密级别的访问权限,除此之外,您无法对IAM的设置进行更细致的了解 我想也许GCP会让我在这里有更多的灵活性,但我也没有任何运气。使用下面的地形-我的SA仍然可以访问项目级别的所有机密 resource "google_project_iam_member" "access_secrets" { project = var.
resource "google_project_iam_member" "access_secrets" {
project = var.project_id
role = "roles/secretmanager.secretAccessor"
member = "serviceAccount:${google_service_account.service-a.email}"
provider = google-beta
condition {
title = "all-service-a-secrets"
description = "All Service A secrets"
expression = "resource.name.startsWith('projects/my-project/secrets/service-a-secrets')"
}
}
由于主要使用AWS,我觉得权限更灵活一些。似乎答案是更自由地使用项目,但我还没有找到许多关于利用GCP项目的最佳方法的意见。这目前不可能,但已经在2020年的路线图上。现在可以(不确定何时实施)使用
资源.name.startsWith