Google cloud platform 数百名用户单独访问谷歌云存储

我计划使用GKE在一个谷歌云平台项目中运行数百个网站。他们每个人都将使用两个谷歌云存储桶来存储其资产

我计划为每个网站创建一个服务，以便只允许访问其各自的存储桶。然而，每个项目有100个服务帐户的限制，这显然是无法提高的

---

如何确保每个网站只能访问允许查看的bucket或bucket中的子路径？

我们有一个类似的用例，我相信我已经找到了解决此问题的方法。关键是，其他项目的服务帐户可以访问启用GCS的项目的各个部分

基本上，您将使用两种类型的GCP项目：

一个主要项目，包含所有GCS数据桶和任何您拥有的共享资源，如计算引擎VM或应用引擎服务 多个其他项目，每个项目仅持有100个服务帐户

---

第二类用户池项目中的服务帐户可以通过细粒度1服务帐户->1存储桶访问数据项目的存储桶。当最后一个用户池接近100限制时，只需创建一个新项目并开始在那里添加新的服务帐户。

为什么不创建数百个项目，每个项目一个网站，而不是一个项目下的数百个网站？@NexusDuck这些网站需要驻留在一个Kubernetes群集中，以优化资源计算实例的使用。但是考虑一下，一种方法可能是为每个网站创建一个项目，并且只用于存储桶。不是最优的，但可行。同时我发现了一个提示，如果您礼貌地询问，服务帐户限制可能会提高：如果您需要在一个项目中创建100多个服务帐户，请与您的客户经理联系。如果您无法克服服务帐户限制，您仍然可以通过单个中央服务代理数据访问，该服务使用1个服务帐户，并自行实现访问控制。谢谢，这绝对是一个选项。与此同时，我们获得了1000个服务账户，这是我们的目标——要获得批准还需要很长的路要走，但这是可能的。然而，如果我们再次超过这个限制，创建多个项目可能是一个简单的方法来处理它。