使用 Cloud Function 访问不同 GCP 项目中的资源

在 Cloud Functions 中，每个函数都运行在一个特定的服务账号下。这个服务账号拥有访问其他 GCP 资源的权限。当你的 Cloud Function 需要访问位于不同项目中的资源时，例如从一个项目 (com-project-data) 的 Secret Manager 中读取密钥，而 Cloud Function 本身部署在另一个项目 (com-project-common) 中，就会涉及到跨项目权限的问题。

解决这个问题的关键在于理解服务账号的身份概念。一个服务账号代表一个身份，你的 Cloud Function 只有一个身份。因此，你不能直接为 Cloud Function 分配两个不同的服务账号。正确的做法是，授予 Cloud Function 的服务账号访问其他项目资源的权限。

授予服务账号访问权限的步骤：

1. 确定 Cloud Function 的服务账号： 默认情况下，Cloud Function 使用 Compute Engine 默认服务账号。你也可以在部署 Cloud Function 时指定一个自定义的服务账号。在 Cloud Function 的详情页面可以找到其使用的服务账号的邮箱地址，例如 your-function-name@your-project-id.iam.gserviceaccount.com。

2. 授予权限： 在包含目标资源的 GCP 项目（例如 com-project-data）中，授予 Cloud Function 的服务账号访问该资源的权限。例如，如果 Cloud Function 需要访问 Secret Manager 中的密钥，你需要授予该服务账号 roles/secretmanager.secretAccessor 角色。

   可以通过 Google Cloud Console、gcloud 命令行工具或 Terraform 等工具来完成权限授予。以下是使用 gcloud 命令行的示例：

   gcloud projects add-iam-policy-binding com-project-data \
       --member="serviceAccount:your-function-name@your-project-id.iam.gserviceaccount.com" \
       --role="roles/secretmanager.secretAccessor"

   登录后复制

   请将 com-project-data 替换为你的目标项目 ID，并将 your-function-name@your-project-id.iam.gserviceaccount.com 替换为你的 Cloud Function 的服务账号邮箱地址。

   

   问小白

   免费使用DeepSeek满血版

   5331

   查看详情

3. 访问资源： 在 Cloud Function 代码中，使用 GCP 客户端库来访问目标资源。由于 Cloud Function 已经拥有了相应的权限，客户端库会自动使用 Cloud Function 的服务账号进行身份验证。

   例如，使用 Python 访问 Secret Manager 中的密钥：

   from google.cloud import secretmanager
   
   def access_secret_version(project_id, secret_id, version_id="latest"):
       """
       Access the payload for the given secret version if one exists.
       The version defaults to 'latest' if not specified.
       """
   
       # Create the Secret Manager client.
       client = secretmanager.SecretManagerServiceClient()
   
       # Build the resource name of the secret version.
       name = f"projects/{project_id}/secrets/{secret_id}/versions/{version_id}"
   
       # Access the secret version.
       response = client.access_secret_version(name=name)
   
       payload = response.payload.data.decode("UTF-8")
       return payload
   
   # Example usage
   project_id = "com-project-data"  # 项目ID
   secret_id = "my-secret"         # 密钥ID
   secret_value = access_secret_version(project_id, secret_id)
   print(f"Secret value: {secret_value}")

   登录后复制

注意事项：

• 最小权限原则： 仅授予 Cloud Function 的服务账号访问其需要的最小权限。避免授予过多的权限，以降低安全风险。
• 避免使用服务账号密钥文件： 强烈建议不要使用服务账号密钥文件进行身份验证。将密钥文件存储在代码库中或 Cloud Function 的环境变量中是非常不安全的做法。使用 Cloud Function 默认的服务账号或自定义服务账号，并授予其相应的权限是更安全和推荐的方式。
• 网络配置： 确保 Cloud Function 的网络配置允许其访问目标资源。如果目标资源位于 VPC 网络中，你可能需要配置 Cloud Function 的网络设置，使其能够访问该 VPC 网络。

总结：

通过授予 Cloud Function 的服务账号访问其他项目资源的权限，你可以轻松地在 Cloud Function 中访问位于不同 GCP 项目中的资源。 遵循最小权限原则，并避免使用不安全的身份验证方式，可以确保你的 Cloud Function 的安全性和可靠性。 这种方法比尝试使用多个服务帐户身份验证更安全，更易于管理。

以上就是使用 Cloud Function 访问不同 GCP 项目中的资源的详细内容，更多请关注php中文网其它相关文章！