我将我的许多项目转移到Google Cloud Platform(GCP),但我传统上对AWS有更多的经验。
在AWS中,使用IAM,我可以授予我的用户低权限角色,并配置更高权限的角色,以便在提供最近的MFA后暂时承担(切换)它。
我的想法是,我的开发人员没有功能强大的访问密钥位于其磁盘上的纯文本(当然还有完整的磁盘加密)。这减轻了泄漏该密钥(只读访问)的影响,并降低了随机错误的风险。 (参考AWS doc http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_sample-policies.html#ExampleMFAforIAMUserAge)
如何使用GCP IAM重现此模式?
那么,这取决于你真正想要的方式。虽然AWS和GCP是不同的平台,但您仍然可以找到相似之处。
如果您只想预先定义角色或访问权限,请尝试查看这些链接
https://cloud.google.com/iam/docs/granting-roles-to-service-accounts
https://cloud.google.com/iam/docs/service-accounts
https://cloud.google.com/iam/docs/understanding-roles#predefined_roles