首先,我使用带有委派凭据的服务帐户执行应用程序脚本API,通过Google的Python客户端库从Python脚本在Google Apps Script上运行函数,并且它工作正常。
我想为它添加一些 IP 限制,以确保它只能由特定 IP 执行。
我尝试在 VPC 中添加防火墙规则,该规则拒绝来自 0.0.0.0/0 的所有入口并将目标设置为服务帐户。但是,在设置 VPC 规则后运行脚本与之前没有什么不同。
防火墙规则似乎仅针对服务帐户使用的 VM 实例。
有没有更好的方法来为服务帐户设置 IP 限制?
您不能根据请求者 IP 限制对 API 的访问,只能通过 IAM 权限(使用服务账户(。因此,不能将服务帐户配置为仅从特定 IP 地址使用。
如此处所述:"是一种特殊类型的Google帐户,属于您的应用程序或虚拟机(VM(,而不是单个最终用户。我忽略了您希望通过IP限制的原因,但请记住,服务帐户使用私钥,该私钥不应在环境/用户/应用程序之间共享,应存储在安全的地方,并且只能在运行应用程序的服务器中使用。