3回答

梦里花落0921

你的问题没有简单的答案。第 1 部分 - 您的主机不在 Google Cloud 上你的主机安全吗？如果是，则可以将服务帐户 JSON 密钥放在无法从面向公众的应用程序访问的目录中。这里我的意思是不要将文件放在与您的网络服务器相同的目录中。使用一个位置/config，然后加强该目录的安全性，以便只有授权用户和您的应用程序才能读取该文件。确定凭据文件的安全文件位置后，请直接在代码中指定该服务帐户。不要使用环境变量或命令行开关。不要使用GOOGLE_APPLICATION_CREDENTIALS. 有些评论是使用KMS。使用 KMS 是一个好主意，但您面临着先有鸡还是先有蛋的情况。您需要凭据才能使用 KMS 解密。如果不法分子可以访问您的加密凭据，他们还可以访问您的源代码，或对应用程序进行逆向工程，以查看解密方法和用于解密的服务帐户。注意：为凭证文件指定静态位置不是 DevOps 的最佳实践。您的问题是关于安全性而不是 CI/CD。您正在使用共享服务器，这可能意味着很多事情，并且 DevOps 可能没有集成到您的部署或系统设计中。如果您的主机不安全，那么您就没有可行的选择。您无能为力，无法阻止“熟练”工程师逆转您的“遮蔽”方法。第 2 部分 - 您的主机在 Google Cloud 上（Compute Engine、Cloud Run、App Engine 等）注意：以下技术处于测试阶段。这是谷歌云授权的未来，它是身份基础访问控制，以补充基于角色的访问控制，并在某些情况下取代它。您可以为主机分配一个具有零权限的服务帐户。注意“分配”而不是“创建”这个词。不涉及任何文件。然后您可以使用基于身份的访问控制（服务账户的 IAM 成员账户 ID）来访问资源。

0 0

0

喵喔喔

一种解决方案是将您的凭证 JSON（base64 编码）的内容放入服务器配置界面上的 ENV 变量中，然后我们从 ENV 变量启动服务器清单文件。例如：echo $CREDENTIALS | base64 -d > /path/to/cred.json，那么 export GOOGLE_APPLICATION_CREDENTIALS="*file_json_path"

0 0

0

眼眸繁星

您可以从终端使用“gcloud auth application-default login”来使用最终用户凭据进行身份验证。通过身份验证后，您可以使用任何 GCP 资源的默认服务对象。

0 0

0