我需要使用服务帐户来让我的一个脚本创建常规磁盘快照。似乎必须赋予此服务帐户“EDITOR”角色,以便它具有写入权限。
我没有看到任何方法可以将此帐户限制为快照。如果攻击者可以访问此服务帐户的密钥,他们将能够删除磁盘、删除计算资源等。
我肯定我遗漏了一些东西。在 UI 的哪里可以设置权限?
答案1
这是一个很好的问题,因此我为您提供了为您的服务帐户创建自定义角色的步骤,以允许它仅创建快照。
在您的Google Cloud Console,转到IAM & Admin,在左侧菜单上单击Roles,现在在角色列表中找到Compute Storage Admin:
单击Create role from this role,为新角色命名,例如Compute Snapshot Creator。从权限列表中删除那些不适合您的用例的权限(例如compute.x.delete、compute.x.resize、compute.images.x等)。
保存您的自定义角色并将其分配给服务帐户。
有关Identity and Access Management (IAM) Roles访问的更多信息本文。