1

authサブフォルダーがあるmodulair パッケージを必要とするクラウド関数 (Python) がいくつかありますcredentials(主に Google サービス アカウント ファイルまたは Firebase 構成の json ファイルを含む)。

セキュリティの観点から、ファイル ( ).gitにフォルダーを追加することで、明らかにこれらのファイルを に含めていません。.gitignoreauth/credentials

ただし、Google Cloud Function ( ) をデプロイするときに何をすべきかで行き詰まっています.gcloudignore。資格情報を使用して展開すると、これらのキーがサーバーに公開されていると思いますか? どうすればこれを克服できますか?

環境変数について話しているのを聞いたことがありますが、これが単に展開するよりも安全かどうかはわかりませんか?

それを行うGoogleの方法は何ですか?

4

1 に答える 1

1

2 つの主要なソリューションを利用できます。1 つ目は、カスタム サービス アカウントの ID を使用して Cloud Function を実行できることです。このサービス アカウントは、ロジックがタスクを達成するために必要なすべてのロールに関連付けることができます。これの価値は、資格情報をロジックに明示的に認識させる必要がないことです。呼び出しが「暗黙的に」行われる環境には、必要なものがすべて揃っています。

参照:関数ごとの ID

現在行っていることにより近い 2 番目のメカニズムは、Compute Metadata Serverの概念を使用します。このメタデータは、病棟呼び出しを行うために必要なトークンを使用して構成できます。メタデータは、必要に応じてデータを取得するだけの Cloud Function ロジックとは別に構成されます。

参照: ID トークンとアクセス トークンの取得

于 2019-10-28T16:12:07.630 に答える