我有一个CLI工具,可以与Google KMS交互。为了使其工作,我将用户凭据作为存储在磁盘上的JSON文件获取。现在出现了一个新的要求。我需要用这个CLI工具制作一个web应用程序。该网络应用程序将通过谷歌云IAP受到保护。问题是,如何代表经过身份验证的用户运行CLI工具?
您没有。更好地使用服务帐户并分配所需的角色。该服务帐户仍然可以具有域范围的权限委派(可以模拟任何已知的用户(。
可能也可以/应该避免从web应用程序运行CLI工具。最好将他的CLI工具转换为云函数,然后在web应用程序中通过HTTP触发器调用它(这样对服务帐户的访问就尽可能受到限制(。
从安全角度来看,这也可能是需要重新考虑的问题:
我将用户凭据作为存储在磁盘上的JSON文件获取。
即使可能需要,使用服务帐户也不会。