這是我來自 Google 的 JSON 服務帳戶密鑰的形狀。
{
"type": "service_account",
"project_id": "",
"private_key_id": "",
"private_key": "",
"client_email": "",
"client_id": "",
"auth_uri": "",
"token_uri": "",
"auth_provider_x509_cert_url": "",
"client_x509_cert_url": "",
}
哪些欄位應該保密?我的意思是,我會將其中的大部分添加到我的 Git 存盤庫中,并將私有位添加為 env 變數。
保護private_key就夠了嗎?
例如:
帳戶.ts
{
"type": "service_account",
"project_id": "VALUE",
"private_key_id": "VALUE",
"private_key": process.env.PRIVATE_KEY, // Populating it via env variables
"client_email": "VALUE",
"client_id": "VALUE",
"auth_uri": "VALUE",
"token_uri": "VALUE",
"auth_provider_x509_cert_url": "VALUE",
"client_x509_cert_url": "VALUE",
}
我還應該隱藏private_key_id嗎?
uj5u.com熱心網友回復:
private_key必須受到保護。如果該值與 一起披露project_id,則有人可以輕松創建授權令牌并破壞您的 Google Cloud 專案。如果服務賬戶具有正確的 IAM 角色,他們就可以控制您的專案。
仍然可以在不公開授權令牌的情況下創建授權令牌,project_id但這需要更多時間,因為可以通過其他方式推斷專案 ID。
private_key_id用于查找 RSA 公鑰以驗證由private_key. 密鑰 ID 是公開的,它們的披露不是問題。
只有那個private_key是秘密。其他值是敏感資料或公共資料。
最佳實踐:保護整個服務帳戶。
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/511451.html
標籤:Google Cloud Collective 安全谷歌云平台服务帐户谷歌云 iam
上一篇:如何保護反向代理服務器的令牌