使用gcloud cli启用全域委派
全域委派(全局委派)是 Google Cloud Platform (GCP) 中的一项功能,可以让你在一个服务帐号上启用多个服务的权限,使得这个服务帐号可以代表其他的服务帐号进行操作。这个功能可以简化访问权限管理,并且提高安全性。
全域委派的主要优势包括:
- 简化权限管理:通过全域委派,你可以为一个服务帐号赋予多个服务的权限,而无需为每个服务帐号分别分配权限。这样可以大大简化权限管理的过程,减少了繁琐的操作。
- 提高安全性:使用全域委派,你可以控制每个服务帐号具有的权限范围,从而降低了潜在的安全风险。你可以限制某个服务帐号只能在特定的范围内进行操作,而不会给予过多的权限。
使用 gcloud cli 启用全域委派的步骤如下:
- 安装和设置 Google Cloud SDK:参考 Google Cloud SDK 安装文档 安装并设置 Google Cloud SDK。
- 配置认证信息:使用
gcloud auth login命令登录你的 Google Cloud 账号,并选择对应的项目。 - 启用全域委派:使用
gcloud iam service-accounts add-iam-policy-binding命令,将全域委派的权限授予目标服务帐号。示例命令如下:
gcloud iam service-accounts add-iam-policy-binding [目标服务帐号] --member='serviceAccount:[启用全域委派的服务帐号]' --role='roles/iam.serviceAccountTokenCreator'其中,[目标服务帐号] 是你想要为其启用全域委派的服务帐号,[启用全域委派的服务帐号] 是拥有全域委派权限的服务帐号。
- 验证全域委派是否生效:使用
gcloud auth print-identity-token命令,获取全域委派服务帐号的身份令牌。示例命令如下:
gcloud auth print-identity-token --audiences=[目标服务的身份令牌的接收方]其中,[目标服务的身份令牌的接收方] 是接收全域委派服务帐号身份令牌的服务。你可以将该令牌传递给目标服务,以代表全域委派的服务帐号进行操作。
需要注意的是,具体的命令参数可能因为版本更新而有所变化,请参考官方文档或运行 gcloud 命令的 --help 参数获取最新的命令信息。
关于全域委派的更多信息和用法,你可以参考腾讯云文档中的 全域委派 部分。
相关·内容
我有一个makefile,在其中我使用gcloud CLI创建服务帐户并设置角色。我还想使用gcloud CLI为此服务帐户启用全域委派。我只能找到关于如何使用开发人员控制台执行此操作的instructions。是否可以使用gcloud CLI启用全域委派?
浏览 27提问于2020-01-21得票数 0
回答已采纳
1回答
我们的团队正在将创建GCP项目、创建服务帐户并在服务帐户上启用G Suite全域委派的手动流程转换为通过Python的自动化流程。我们可以按照以下文档创建服务帐户:https://cloud.google.com/iam/docs/reference/rest/v1/projects.serviceAccounts/create 但是,关于如何使用API在服务帐户上启用此功能的文档似乎很少甚至没有。我们找到的所有文档
浏览 18提问于2020-01-24得票数 0
我正在尝试从谷歌日历访问事件,我遇到了解决方案,这个脚本需要,我有一个疑问是谷歌服务帐户是免费的还是我的应用程序需要?
浏览 2提问于2016-05-06得票数 0
1回答
我在创建日历事件时遇到了问题(使用google服务帐户),我启用了全域委派。我已经检查了使用情况,它低于10个请求(配额设置为100万)string[] Scopes
浏览 0提问于2020-03-08得票数 0
我在我的Google Apps域上创建了一个服务帐户,启用了全域委派,并通过域的控制面板在该服务帐户的客户端ID上启用了完整的gmail和pubsub API作用域。httplib2.Http()我正在尝试使用以下内容在被模拟用户的帐户上设置推送通知具有全域委派</em
浏览 0提问于2015-12-21得票数 2
我目前正在尝试开发一个部署在GCP Cloud Function上的简单Node JS程序,以便通过服务帐户使用Google Calendar API。There was an error contacting the Calendar service: Error: Service应用程序接口被激活,我在GSuite管理员安全上允许日历范围,我的服务帐户在GCP上检查了委派权限。
我寻找了很多解决方案,但都没有解决我的问题
浏览 0提问于2020-03-25得票数 2
1回答
我正在研究使用GMail应用程序接口在我们的一个系统上以编程方式发送电子邮件。我认为我需要创建一个服务帐户,然后将其设置为具有全域访问权限,以便委派电子邮件发送(这样电子邮件看起来就像是来自实际用户,而不是我的程序)。我的问题是,如果我走这条路--有没有办法阻止某些用户,这样服务帐户就不能“委派”他们?例如,我希望能够为我们的销售团队生成和发送电子邮件,但我不希望api能够为我们的高级官员生成任何电子邮件。flow of things would be....our程序从我们的数据库中收集信息,然后循环这些数据,并
浏览 31提问于2020-06-05得票数 0
我正在使用一个无服务器Python函数来检索G Suite日志。为了通过Admin SDK进行身份验证,我做了以下工作: 1)创建项目2)创建具有项目->所有者角色的服务帐户3)创建私钥(JSON)文件4)启用全域性委派5)启用Admin SDK 6)通过‘一个或多个API作用域’使用https://www.googleapis.com/auth/admin.reports.audit.readonly授权我的服务帐户来委派
浏览 8提问于2019-04-18得票数 0
回答已采纳
我正在工作的应用程序,这是使用谷歌服务帐户与域名范围的委派。有没有办法也通过API实现域范围的委派?
谢谢
浏览 2提问于2017-05-13得票数 0
我有一个外部应用程序,它使用OAuth 2.0来连接以访问Google Drive API。该应用程序已启用全域委派,并且在作用域中已使用必要的驱动器API进行了配置。
浏览 23提问于2021-04-29得票数 0
当我尝试将域中的组作为非管理员列出时,目录API会抛出'Not Authorized to access this resource/api‘错误。但gmail也会自动完成非管理员用户的组名(这意味着它可以检索组列表)。有没有一种方法可以在不是管理员的情况下获取组列表或从域中的组列表中搜索?
浏览 13提问于2019-01-22得票数 0
我们需要使用服务器应用程序访问Google Calendar API来创建活动并邀请与会者。谷歌建议对应用程序使用服务帐户。这里的主要问题是邀请参与者参加活动,因为服务帐户在没有授权的全域委派的情况下无法做到这一点(参见img)。 组织不希望向服务帐户授予访问所有用户数据的权限。所以,我想知道我们是否可以将授权的全域性授权委派给该域的一个用户?(限制访问以使用其他用户的数据)。 附注:这只是关于谷歌日历api。 非常感谢你的帮助。 ?
浏览 64提问于2021-02-08得票数 1
我有一个使用Google API的应用程序。我为它创建了一个服务帐户,下载了密钥,并启用了GSuite的全域委派。作用域包括Drive。我尝试通过使用服务帐户模拟用户来遍历GSuite用户的驱动器文件,如下所示:
final NetHttpTransport HTTP_TRANSPORT = GoogleNetHttpTransport.newTrustedTransport我非常确定所有步骤都已成功完成,并且启用了域范围的委派,甚至凭据看起来也没问题。作用域当然是正确
浏览 0提问于2020-03-30得票数 0
1回答
我是库伯内特斯和詹金斯的新人。为此,我做了一些教程。我已经设置了我的GKE 1:1和教程一样。还完成了这些教程:“jenkins-on-容器-引擎-教程”“配置-jenkins-容器-引擎”。问题是构建代理找不到docker命令!我也尝试过一些自定义的图像,比如在这个线程中:
浏览 1提问于2017-10-02得票数 0
回答已采纳
我读过here,当我没有为服务指定服务帐户时,它会使用应用程序默认凭据,该凭据默认为PROJECT-NUMBER-compute@developer.gserviceaccount.com for Cloud我还为PROJECT-NUMBER-compute@developer.gserviceaccount.com启用了域范围委派,并使用与默认服务帐户相同的客户端ID将https://www.googleapis.com
浏览 13提问于2020-10-28得票数 1
回答已采纳
我已经使用这里的文档来通过gcloud工具启用新的API。我在我的项目上有一个拥有所有者角色的服务帐户,在python中是否可以在不使用gcloud的情况下启用API?或者,是否可以从python调用gcloud CLI工具?
浏览 1提问于2020-11-19得票数 0
回答已采纳
我想在我的应用程序中使用gmailAPI来使用自动转发功能,因为我是第一次接触API。我按照python快速入门指南中给出的步骤进行操作,如下所示。然后我使用:- 编辑代码,最终代码如下所示:import os.pathfrommain()
它说,转发的邮件也应该被验证,所以我在gmail的转发设置中验证了"<forwarding_mailid>“(我也在从转发设置中删除邮件id后进行了测试),就像在
浏览 0提问于2020-07-30得票数 3
2回答
我已经为我的gsuite域创建了一个服务帐户,我将使用它来访问一个用户的G驱动器,以便在那里进行备份。(当然,我可以使用共享驱动器来做这件事,但对于我的客户机(通过linux的rclone),这可能是不可能的,我还不确定。)
我该如何做到这一点?提前感谢您的帮助!
浏览 2提问于2020-02-05得票数 1
1回答
google管理目录插入用户
、、、、
我正在使用下面的gem 'google-api-client', '0.11.1'。我已启用下列各项,% 1,已启用api访问% 2,服务帐户全域委派已完成% 3,已授权此服务帐户客户端id的作用域urls
代码可以与其他域一起使用,但对于其他帐户,它会抛出错误。
浏览 0提问于2017-05-25得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
