Google Cloud Function跨项目资源访问权限管理指南

1. 理解Google Cloud Function的身份管理机制

在google cloud platform (gcp) 中，每个google cloud function实例都通过一个服务账号来执行其所有操作。这个服务账号是function在gcp生态系统中的唯一身份标识。无论是访问数据库、调用其他gcp服务还是操作存储桶，所有行为都将以这个服务账号的名义进行。这意味着一个cloud function在任何给定时刻都只具备一个身份，无法同时拥有或“注入”多个独立的服务账号。

当一个Cloud Function（例如部署在项目com-project-common中）需要访问位于另一个GCP项目（例如com-project-data）中的资源时，其默认的服务账号将不具备访问权限，除非明确授予。

2. 跨项目资源访问挑战解析

用户在尝试跨项目访问时，常见的误区是认为需要为Cloud Function提供多个服务账号的凭据，或者将其与多个服务账号关联。然而，GCP的IAM（Identity and Access Management）模型并非这样工作。当Cloud Function运行在com-project-common中，其服务账号（例如com-project-common@appspot.gserviceaccount.com或自定义的服务账号）仅在com-project-common项目内拥有默认权限。要访问com-project-data项目中的资源（例如Secret Manager中的密钥），就需要com-project-common的服务账号被com-project-data项目授权。

3. 推荐解决方案：通过IAM实现跨项目授权

解决Cloud Function跨项目资源访问问题的正确且安全的方法是：在资源所在的目标项目（com-project-data）中，向Cloud Function的服务账号（来自com-project-common）授予访问该资源的最小必要IAM权限。

3.1 识别Cloud Function的服务账号

首先，您需要确定您的Cloud Function正在使用的服务账号的电子邮件地址。

• 如果您在部署Cloud Function时未指定服务账号，它通常会使用项目默认的服务账号，格式为PROJECT_ID@appspot.gserviceaccount.com（例如 com-project-common@appspot.gserviceaccount.com）。
• 如果您指定了自定义服务账号，请使用该服务账号的电子邮件地址。您可以在Cloud Functions的详情页面的“运行时、构建和连接设置”中找到“运行时服务账号”。

3.2 确定目标资源和所需权限

接下来，明确您要访问的目标资源类型以及访问该资源所需的最小权限。 例如，如果您的Cloud Function需要访问com-project-data项目中的Secret Manager密钥，它需要Secret Manager Secret Accessor（roles/secretmanager.secretAccessor）角色。

3.3 在目标项目上授予权限

使用gcloud命令行工具或GCP控制台在目标项目（com-project-data）上授予权限。

示例：授予Cloud Function访问Secret Manager密钥的权限

假设您的Cloud Function服务账号是 my-cf-sa@com-project-common.iam.gserviceaccount.com，您想让它访问com-project-data项目中的名为my-database-secret的密钥。

乾坤圈新媒体矩阵管家

新媒体账号、门店矩阵智能管理系统

17

查看详情

您需要在com-project-data项目中执行以下gcloud命令：

# 替换为您的Cloud Function服务账号电子邮件
CLOUD_FUNCTION_SERVICE_ACCOUNT_EMAIL="my-cf-sa@com-project-common.iam.gserviceaccount.com"

# 替换为目标Secret所在的GCP项目ID
TARGET_PROJECT_ID="com-project-data"

# 替换为目标Secret的名称
SECRET_NAME="my-database-secret"

# 授予Cloud Function服务账号访问该Secret的权限
gcloud secrets add-iam-policy-binding "${SECRET_NAME}" \
    --project="${TARGET_PROJECT_ID}" \
    --role="roles/secretmanager.secretAccessor" \
    --member="serviceAccount:${CLOUD_FUNCTION_SERVICE_ACCOUNT_EMAIL}"

命令解释：

• gcloud secrets add-iam-policy-binding: 用于修改Secret的IAM策略。
• "${SECRET_NAME}": 指定要授权的Secret的名称。
• --project="${TARGET_PROJECT_ID}": 指定Secret所在的GCP项目ID。
• --role="roles/secretmanager.secretAccessor": 指定要授予的IAM角色。roles/secretmanager.secretAccessor允许读取Secret的值。
• --member="serviceAccount:${CLOUD_FUNCTION_SERVICE_ACCOUNT_EMAIL}": 指定要授予权限的服务账号。serviceAccount:前缀是必需的。

完成上述步骤后，您的Cloud Function（运行在com-project-common中）的服务账号将具备访问com-project-data项目中指定Secret的权限，而无需任何额外的身份注入。

4. 警惕不良实践：避免多服务账号密钥文件

在任何情况下，都强烈不建议在Cloud Function内部下载、存储或使用多个服务账号密钥文件来模拟多身份认证。这种做法存在严重的安全风险和管理复杂性：

• 安全风险： 密钥文件一旦泄露，攻击者将获得相应服务账号的所有权限。管理多个密钥文件大大增加了泄露的风险。
• 管理复杂性： 密钥文件需要轮换、保护和部署，增加了运维负担。
• 违反最佳实践： GCP推荐的身份验证方式是利用服务账号的默认凭证链，而不是手动管理密钥文件。这种方法利用了GCP内部的安全机制，如短期凭证和自动轮换。

5. 总结与最佳实践

在Google Cloud Function中处理跨项目资源访问时，核心原则是：单一身份，最小权限，通过IAM授权。

• 单一身份： 每个Cloud Function实例仅关联一个服务账号作为其运行身份。
• 最小权限： 仅授予Cloud Function的服务账号访问目标资源所需的最小权限，遵循“最小权限原则”。
• IAM授权： 在目标资源所在的项目中，通过IAM策略向Cloud Function的服务账号授予必要的角色。

遵循这些最佳实践，不仅能够实现Cloud Function安全、高效地访问跨项目资源，还能显著提升系统的安全性、可审计性和可维护性。避免使用不推荐的密钥文件方案，是确保GCP环境安全的关键。

以上就是Google Cloud Function跨项目资源访问权限管理指南的详细内容，更多请关注php中文网其它相关文章！