首頁猿問安全地設(shè)置...

安全地設(shè)置 GOOGLE_APPLICATION_CREDENTIALS

PHP

達(dá)令說 2021-10-22 14:43:37

我正在嘗試以安全的方式使用 Google 云服務(wù)。我目前正在通過 putenv('GOOGLE_APPLICATION_CREDENTIALS= path to JSON file ');提供我的憑據(jù)；請(qǐng)參閱 https://cloud.google.com/docs/authentication/production我想通過將我的代碼放在共享主機(jī)/虛擬 Linux 服務(wù)器上來公開測(cè)試。但是，如果我將 JSON 文件的權(quán)限設(shè)置為安全，則無法訪問它們。如果我公開，我需要包含的 JSON 文件有一個(gè)純文本的私鑰。我已經(jīng)進(jìn)行了一個(gè)小時(shí)的搜索，但找不到我應(yīng)該如何安全地提供憑據(jù)。我應(yīng)該將文件放在我的服務(wù)器上的安全位置嗎？生產(chǎn)網(wǎng)站是否有替代方法來將公共 URL 傳遞給 putenv？

查看完整描述

3 回答

夢(mèng)里花落0921

TA貢獻(xiàn)1772條經(jīng)驗(yàn) 獲得超6個(gè)贊

你的問題沒有簡(jiǎn)單的答案。

第 1 部分 - 您的主機(jī)不在 Google Cloud 上

你的主機(jī)安全嗎？如果是，則可以將服務(wù)帳戶 JSON 密鑰放在無法從面向公眾的應(yīng)用程序訪問的目錄中。這里我的意思是不要將文件放在與您的網(wǎng)絡(luò)服務(wù)器相同的目錄中。使用一個(gè)位置/config，然后加強(qiáng)該目錄的安全性，以便只有授權(quán)用戶和您的應(yīng)用程序才能讀取該文件。

確定憑據(jù)文件的安全文件位置后，請(qǐng)直接在代碼中指定該服務(wù)帳戶。不要使用環(huán)境變量或命令行開關(guān)。不要使用GOOGLE_APPLICATION_CREDENTIALS. 有些評(píng)論是使用KMS。使用 KMS 是一個(gè)好主意，但您面臨著先有雞還是先有蛋的情況。您需要憑據(jù)才能使用 KMS 解密。如果不法分子可以訪問您的加密憑據(jù)，他們還可以訪問您的源代碼，或?qū)?yīng)用程序進(jìn)行逆向工程，以查看解密方法和用于解密的服務(wù)帳戶。

注意：為憑證文件指定靜態(tài)位置不是 DevOps 的最佳實(shí)踐。您的問題是關(guān)于安全性而不是 CI/CD。您正在使用共享服務(wù)器，這可能意味著很多事情，并且 DevOps 可能沒有集成到您的部署或系統(tǒng)設(shè)計(jì)中。

如果您的主機(jī)不安全，那么您就沒有可行的選擇。您無能為力，無法阻止“熟練”工程師逆轉(zhuǎn)您的“遮蔽”方法。

第 2 部分 - 您的主機(jī)在 Google Cloud 上（Compute Engine、Cloud Run、App Engine 等）

注意：以下技術(shù)處于測(cè)試階段。這是谷歌云授權(quán)的未來，它是身份基礎(chǔ)訪問控制，以補(bǔ)充基于角色的訪問控制，并在某些情況下取代它。

您可以為主機(jī)分配一個(gè)具有零權(quán)限的服務(wù)帳戶。注意“分配”而不是“創(chuàng)建”這個(gè)詞。不涉及任何文件。然后您可以使用基于身份的訪問控制（服務(wù)賬戶的 IAM 成員賬戶 ID）來訪問資源。

反對(duì) 回復(fù) 2021-10-22