GCP-如何在没有密钥文件的情况下运行Python应用程序作为服务帐户

Question

gcloud和gsutil具有- 模仿service-account，我们可以假冒服务帐户。

对于Python程序，是否有一种方法可以将程序作为服务帐户运行，而无需使用Service帐户秘密密钥文件作为密钥文件，而不是出于安全原因。

服务帐户密钥可能会造成安全风险。我们建议您避免下载服务帐户键

Answer 1

是的，有一种方法可以在Python程序中使用无钥匙的身份验证。它称为 workload noreload Identity vederation Federation（wif）。

使用wif，您可以使用外部提供商生成 openID noreid connect （oidc）<强>身份令牌。此外部提供商可以是IDAA（身份作为服务），例如 okta ， auth0 或 authlete>这可以是您自己建立的东西。更准确地说，您需要创建一个OAuth 2.0 /a>，例如，使用 authlib 。我从来没有自己做过，但是我敢肯定这是很多工作。

设置了外部身份提供商后，您将需要配置工作负载身份池：

要允许使用这些令牌，您必须配置工作负载身份池以信任您的外部身份提供商。然后，由外部身份提供商发出的代币将通过工作负载身份联合会确认，您可以使用令牌获得短暂的服务帐户凭据。

就个人而言，我会三思而后行地自己实施OAuth 2.0授权服务器。我不想担心发出正确的令牌类型，当然我不想担心管理令牌数据库（将其黑名单，使其无效等）。我很可能会下载服务帐户的JSON密钥，并在我的Python程序中使用它，或者支付IDAA来发行ID令牌（即Workload Identity Federation中使用的外部身份提供商）。

Answer 2

对于Python程序，是否可以将程序作为服务运行
不建议不使用密钥文件作为密钥文件的帐户
安全原因。

如果您的Python程序在Google Cloud之外运行，则不，您必须使用凭据。

你有一个捕获22。您需要使用凭证授权，以模仿另一个凭据。

您有三个选择：

• 用户帐户凭据
• 另一个服务帐户凭据
• 联合令牌

的每种方法都需要秘密。

对于计算服务，例如计算引擎，云功能，云运行等，您可以使用元数据服务进行授权。但是，那么您就不需要模仿凭据，就可以使用凭据，因为它们是安全的（机器上没有秘密）。

我写了一篇有关此主题的文章以及如何使用用户帐户凭据设置模仿的文章：

Google Cloud - 通过假冒的安全性提高安全性

如果正确设置了模仿，则不需要Flag - 不需要模拟服务。