Google cloud platform 谷歌云-如何通过标签或名称授予对一组机密的访问权限?

Google cloud platform 谷歌云-如何通过标签或名称授予对一组机密的访问权限?,google-cloud-platform,terraform-provider-gcp,google-secret-manager,Google Cloud Platform,Terraform Provider Gcp,Google Secret Manager,我希望能够基于命名约定,或者更好的基于标签,授予谷歌云服务帐户访问多个秘密的权限 到目前为止,GCP似乎只提供基于组织、文件夹、项目或机密级别的访问权限,除此之外,您无法对IAM的设置进行更细致的了解 我想也许GCP会让我在这里有更多的灵活性,但我也没有任何运气。使用下面的地形-我的SA仍然可以访问项目级别的所有机密 resource "google_project_iam_member" "access_secrets" { project = var.

我希望能够基于命名约定,或者更好的基于标签,授予谷歌云服务帐户访问多个秘密的权限

到目前为止,GCP似乎只提供基于组织、文件夹、项目或机密级别的访问权限,除此之外,您无法对IAM的设置进行更细致的了解

我想也许GCP会让我在这里有更多的灵活性,但我也没有任何运气。使用下面的地形-我的SA仍然可以访问项目级别的所有机密

resource "google_project_iam_member" "access_secrets" {
project = var.project_id
role    = "roles/secretmanager.secretAccessor"
member  = "serviceAccount:${google_service_account.service-a.email}"
provider = google-beta
  
condition {
   title       = "all-service-a-secrets"
   description = "All Service A secrets"
   expression  = "resource.name.startsWith('projects/my-project/secrets/service-a-secrets')"
  }
}

由于主要使用AWS,我觉得权限更灵活一些。似乎答案是更自由地使用项目,但我还没有找到许多关于利用GCP项目的最佳方法的意见。

这目前不可能,但已经在2020年的路线图上。

现在可以(不确定何时实施)使用
资源.name.startsWith
-但是,这让我大吃一惊,你必须在URL中使用数字项目ID,而不是项目名称。

嘿,赛斯,谢谢你的回复。像这样的路线图项目是否会发布到任何地方供公众消费/跟踪?在这个答案中有一个参考链接会很有用。Secret Manager目前不发布公共路线图。