Я новичок в GCP и хочу провести тест-драйв. Я пытался создать экземпляр виртуальной машины из существующего образа из шаблона развертывания, и мне это удалось. Я подписался на этот документ, но хочу разрешить полный доступ ко всем Cloud API для областей доступа Cloud API. Это изображение, которое показывает особенность экземпляра ВМ. Я хочу включить его из моего файла шаблона jinja (файл формата YML)
Как разрешить Разрешить полный доступ ко всем облачным API (для областей доступа к облачному API) из шаблона jinja развертывания на облачной платформе google
comment
Знаете ли вы, есть ли риски безопасности при предоставлении полного доступа? Почему по умолчанию ограничено меньшее количество разрешений?
- person Nathan   schedule 14.06.2020
Ответы (2)
При создании экземпляра вам необходимо настроить соответствующую область для своего serviceAccounts
:
- name: {{ vmName }}
type: compute.v1.instance
properties:
...
serviceAccounts:
- email: default
scopes:
- https://www.googleapis.com/auth/cloud-platform
...
используйте cloud-platform
область, чтобы разрешить полный доступ ко всем облачным API.
person
O.Hammami
schedule
20.07.2018
Знаете ли вы, есть ли риски безопасности при предоставлении полного доступа? Почему по умолчанию ограничено меньшее количество разрешений?
- person Nathan; 14.06.2020
Вам нужно добавить флаг --scope. Если вы исключите этот флаг, экземпляр будет создан с доступом к API по умолчанию. За флагом --scope следует список псевдонимов или URL-адресов, разделенных запятыми. Вам нужно будет указать каждый API, который вы хотите включить в экземпляре.
person
Patrick W
schedule
14.02.2018
Знаете ли вы, есть ли риски безопасности при предоставлении полного доступа? Почему по умолчанию ограничено меньшее количество разрешений?
- person Nathan; 14.06.2020
Учетная запись службы по умолчанию имеет роль редактора. при наличии полной области действия экземпляр позволит любому пользователю или приложению иметь полные разрешения на любом ресурсе gcp. Это огромный риск для безопасности. Вы должны использовать область облачной платформы только в том случае, если вы используете настраиваемую учетную запись службы с определенными разрешениями.
- person Patrick W; 14.06.2020