Google Maps API теперь доступен только через Google Cloud Platform. Я работаю над небольшим проектом, и я не уверен, что мне было бы разумно сделать с точки зрения безопасности. Я разработчик, а мой клиент, который не очень разбирается в технических вопросах, является владельцем учетной записи GCP, контролирующей выставление счетов.
Я попытался понять, как IAM настраивается в GCP, из документации, выполнил поиск и прочитал несколько глав книг об O'Reilly, но мне все еще неясно, что было бы хорошей практикой (не слишком усложняя, а в идеале просто с помощью консоли) для защиты двух необходимых нам учетных записей GCP.
Что я сделал:
- Настроил для себя новую учетную запись пользователя Google специально для GCP, потому что моя основная учетная запись Google привязана ко многим другим службам, которые, как мне кажется, потенциально ослабляют безопасность GCP;
- Защитил две учетные записи пользователей для GCP с двухфакторной аутентификацией;
- Создал проект - для которого я потом стал
владелец (что я понимаю не идеально, потому что дает очень широкий доступ к ресурсам);
- Предложил моему клиенту сначала зарегистрироваться в GCP в качестве
владелец;
- Изменил роли моего клиента на
Администратор ApiGateway и Менеджер по выставлению счетов проекта.
Я предлагаю изменить свои роли, чтобы включить IAM-администратор проекта и Администратор ApiGateway, а потом удалить владелец. Затем я думаю, что смогу управлять API Google Maps, а также добавлять новые роли в проект, если захочу.
Мои вопросы
Достаточно ли этих предложенных ролей для управления API Карт Google для проекта? Мне не удалось управлять ключами API, но я буду следовать официальным инструкциям на страницах Google Maps.
Могу ли я посоветовать своему клиенту что-нибудь еще, чтобы защитить его учетную запись GCP от кого-то, кто может получить доступ к его учетной записи и попытаться добавить другие службы? Например, поможет ли это, если он или я создадим организация или папка структура?
Новый тег google-cloud-iam включены
Смотря на Поддержка Google для IAM, мне посоветовали опубликовать с этим тегом на StackOverflow, что я и сделал. Затем мой вопрос был помечен как «не по теме», и мне посоветовали опубликовать его в Super User. Там тоже было помечено как "не по теме", так что теперь я пытаюсь опубликовать это здесь. google-cloud-iam похоже, это рекомендуемый тег Google; пожалуйста, кто-нибудь из сообщества с большим авторитетом добавит его (я нашел только гугл-ям здесь).
