Как разрешить Разрешить полный доступ ко всем облачным API (для областей доступа к облачному API) из шаблона jinja развертывания на облачной платформе google

Я новичок в GCP и хочу провести тест-драйв. Я пытался создать экземпляр виртуальной машины из существующего образа из шаблона развертывания, и мне это удалось. Я подписался на этот документ, но хочу разрешить полный доступ ко всем Cloud API для областей доступа Cloud API. Это изображение, которое показывает особенность экземпляра ВМ. Я хочу включить его из моего файла шаблона jinja (файл формата YML)


google-cloud-platform google-deployment-manager jinja2
person Harshith HM    schedule 13.02.2018    source источник
comment
Знаете ли вы, есть ли риски безопасности при предоставлении полного доступа? Почему по умолчанию ограничено меньшее количество разрешений?   -  person Nathan    schedule 14.06.2020

Ответы (2)


arrow_upward
3
arrow_downward

При создании экземпляра вам необходимо настроить соответствующую область для своего serviceAccounts:

- name: {{ vmName }}
  type: compute.v1.instance
  properties:
...
    serviceAccounts:
    - email: default
      scopes:
        - https://www.googleapis.com/auth/cloud-platform
...

используйте cloud-platform область, чтобы разрешить полный доступ ко всем облачным API.

person O.Hammami    schedule 20.07.2018
comment
Знаете ли вы, есть ли риски безопасности при предоставлении полного доступа? Почему по умолчанию ограничено меньшее количество разрешений? - person Nathan; 14.06.2020

arrow_upward
0
arrow_downward

Вам нужно добавить флаг --scope. Если вы исключите этот флаг, экземпляр будет создан с доступом к API по умолчанию. За флагом --scope следует список псевдонимов или URL-адресов, разделенных запятыми. Вам нужно будет указать каждый API, который вы хотите включить в экземпляре.

person Patrick W    schedule 14.02.2018
comment
Знаете ли вы, есть ли риски безопасности при предоставлении полного доступа? Почему по умолчанию ограничено меньшее количество разрешений? - person Nathan; 14.06.2020
comment
Учетная запись службы по умолчанию имеет роль редактора. при наличии полной области действия экземпляр позволит любому пользователю или приложению иметь полные разрешения на любом ресурсе gcp. Это огромный риск для безопасности. Вы должны использовать область облачной платформы только в том случае, если вы используете настраиваемую учетную запись службы с определенными разрешениями. - person Patrick W; 14.06.2020