Les counts Google Cloud Service avec des permissions limitées?

Je dois utiliser un count de service pour que mes scripts créent des instantanés de disque réguliers. Il semble que cela doit donner à ce service le rôle de "EDITOR", donc il a un access en écriture.

Ce que je ne vois pas, c'est un moyen de limiter ces counts aux instantanés. Si un attaquant peut accéder aux keys de ce count de service, il est possible de supprimer les disques, de supprimer les ressources de calcul, etc.

Je suis sûr que je manque quelque chose ici. Où dans l'interface user je peux configurer les permissions?

C'est une bonne question, alors je vous propose les étapes pour créer un rôle personnalisé pour votre count de service afin de lui permettre de créer des instantanés uniquement.

Sur votre Google Cloud Console , accédez à IAM & Admin , dans le menu de gauche, click Roles , maintenant sur la list des rôles, find Compute Storage Admin :

entrez la description de l'image ici

Cliquez sur Create role from this role , nommez le nouveau rôle, par exemple Compute Snapshot Creator . Dans la list d'autorisation, supprimez les permissions qui ne sont pas souhaitables pour votre cas d'utilisation (comme compute.x.delete , compute.x.resize , compute.images.x , etc.).

Enregistrez votre rôle personnalisé et atsortingbuez-le au count de service.

Pour plus d'informations sur les fonctions Identity and Access Management (IAM) Roles visitez cet article .