在 Cloud Functions 中,每个函数都运行在一个特定的服务账号下。这个服务账号拥有访问其他 GCP 资源的权限。当你的 Cloud Function 需要访问位于不同项目中的资源时,例如从一个项目 (com-project-data) 的 Secret Manager 中读取密钥,而 Cloud Function 本身部署在另一个项目 (com-project-common) 中,就会涉及到跨项目权限的问题。
解决这个问题的关键在于理解服务账号的身份概念。一个服务账号代表一个身份,你的 Cloud Function 只有一个身份。因此,你不能直接为 Cloud Function 分配两个不同的服务账号。正确的做法是,授予 Cloud Function 的服务账号访问其他项目资源的权限。
授予服务账号访问权限的步骤:
确定 Cloud Function 的服务账号: 默认情况下,Cloud Function 使用 Compute Engine 默认服务账号。你也可以在部署 Cloud Function 时指定一个自定义的服务账号。在 Cloud Function 的详情页面可以找到其使用的服务账号的邮箱地址,例如 your-function-name@your-project-id.iam.gserviceaccount.com。
-
授予权限: 在包含目标资源的 GCP 项目(例如 com-project-data)中,授予 Cloud Function 的服务账号访问该资源的权限。例如,如果 Cloud Function 需要访问 Secret Manager 中的密钥,你需要授予该服务账号 roles/secretmanager.secretAccessor 角色。
可以通过 Google Cloud Console、gcloud 命令行工具或 Terraform 等工具来完成权限授予。以下是使用 gcloud 命令行的示例:
gcloud projects add-iam-policy-binding com-project-data \ --member="serviceAccount:your-function-name@your-project-id.iam.gserviceaccount.com" \ --role="roles/secretmanager.secretAccessor"请将 com-project-data 替换为你的目标项目 ID,并将 your-function-name@your-project-id.iam.gserviceaccount.com 替换为你的 Cloud Function 的服务账号邮箱地址。
-
访问资源: 在 Cloud Function 代码中,使用 GCP 客户端库来访问目标资源。由于 Cloud Function 已经拥有了相应的权限,客户端库会自动使用 Cloud Function 的服务账号进行身份验证。
例如,使用 Python 访问 Secret Manager 中的密钥:
from google.cloud import secretmanager def access_secret_version(project_id, secret_id, version_id="latest"): """ Access the payload for the given secret version if one exists. The version defaults to 'latest' if not specified. """ # Create the Secret Manager client. client = secretmanager.SecretManagerServiceClient() # Build the resource name of the secret version. name = f"projects/{project_id}/secrets/{secret_id}/versions/{version_id}" # Access the secret version. response = client.access_secret_version(name=name) payload = response.payload.data.decode("UTF-8") return payload # Example usage project_id = "com-project-data" # 项目ID secret_id = "my-secret" # 密钥ID secret_value = access_secret_version(project_id, secret_id) print(f"Secret value: {secret_value}")
注意事项:
- 最小权限原则: 仅授予 Cloud Function 的服务账号访问其需要的最小权限。避免授予过多的权限,以降低安全风险。
- 避免使用服务账号密钥文件: 强烈建议不要使用服务账号密钥文件进行身份验证。将密钥文件存储在代码库中或 Cloud Function 的环境变量中是非常不安全的做法。使用 Cloud Function 默认的服务账号或自定义服务账号,并授予其相应的权限是更安全和推荐的方式。
- 网络配置: 确保 Cloud Function 的网络配置允许其访问目标资源。如果目标资源位于 VPC 网络中,你可能需要配置 Cloud Function 的网络设置,使其能够访问该 VPC 网络。
总结:
通过授予 Cloud Function 的服务账号访问其他项目资源的权限,你可以轻松地在 Cloud Function 中访问位于不同 GCP 项目中的资源。 遵循最小权限原则,并避免使用不安全的身份验证方式,可以确保你的 Cloud Function 的安全性和可靠性。 这种方法比尝试使用多个服务帐户身份验证更安全,更易于管理。
