我正在为Terraform创建CI / CD管道,以便可以自动创建GCP资源。但是Terraform需要Service帐户来完成这项工作,我创建了service帐户,并将密钥下载到了我的机器上,但是存储它的正确方法应该是什么,因此在运行Cloud构建管道时,Terraform可以选择它并执行脚本。
provider "google" {
credentials = file(var.cred_file)
project = var.project_name
region = var.region
}
可以将此文件存储在Cloud storage bucket中吗?还是有一些更好的选择?
在GCP上,您可以使用bucket选项来保留敏感信息,并且可以使用访问控制列表(ACLs)来定义谁有权访问您的bucket和对象。 GCP提供了下一个要存储的options,我认为更好的方法可以满足您的需求,只需确保该选件为您提供安全工具即可保护文件安全。我认为,一旦您授予Cloud Build service account权限,就可以在code
中将路径传递给服务帐户密钥