Безопасный Способ Загрузки Данных В Google Cloud Storage

Мы создаем несколько машин, в которых есть часть, которая загружает изображения, снятые камерой, в облачное хранилище Google. Для этой цели я сделал

1. Создайте учетную запись службы для каждого компьютера.
2. Создайте пользовательскую роль с разрешениями:

storage.objects.create
storage.buckets.get
storage.objects.get

1. Примените эту роль к этой учетной записи службы.
2. Загрузите файл ключа учетных данных JSON и используйте этот файл со сценарием Python (в котором я указываю имя сегмента), чтобы загрузить изображение в хранилище GCP.

Является ли такой способ работы эффективным и безопасным, учитывая, что мы поставляем всего 2–3 машины в месяц?

Также мне придется отправлять файл JSON на каждую машину. Если описанный выше метод действителен, это нормально или есть какой-нибудь способ скрыть этот файл ключа?

#google-cloud-platform #google-cloud-storage

Да, ваш подход мне кажется приемлемым. Я не уверен, как вы «отправляете» машины, но рекомендуется использовать сервисную учетную запись для каждой машины, насколько это возможно. удалить ключ служебной учетной записи, если машина когда-либо будет скомпрометирована.

Вы можете и должны полностью автоматизировать процесс создания файлов ключей учетных данных с помощью API Google или интерфейса gcloud.

Рекомендуется периодически ротировать (перевыпускать) файлы ключей учетных данных. Это на тот случай, если они случайно утекут таким образом, что вы этого не заметите. Если вы всегда отзываете ключ и выдаете новый каждый месяц, это несколько ограничивает общий ущерб.

Если вы выполняете ротацию ключей, значит, у вас проблема с распределением ключей. Как безопасно распространить новые файлы ключей учетных данных на компьютеры, которые вы поставляли в прошлом? Вы можете использовать GnuPG для создавать пара открытого и закрытого ключей на каждом хосте. Каждый месяц вы можете запускать сценарий, который генерирует новый файл ключей учетных данных для каждой машины, зашифровывать его с помощью открытого ключа GPG машины, а затем удалить старые ключи сервисной учетной записи.

Сценарий, который помещает изображения в корзину, должен затем периодически «звонить домой», чтобы получить новый ключевой файл учетных данных, зашифрованный GPG. Тогда это может расшифровать его собственным секретным ключом. Один из способов сделать это — поместить зашифрованные ключи в другую корзину. Создайте одну учетную запись службы, которая сможет только читать этот сегмент. Создайте один файл ключей учетных данных для этой учетной записи службы, которую вы устанавливаете на каждый компьютер. Этот ключ затем можно будет использовать только для сбора зашифрованных ключей, которые можно расшифровать только на правильном хосте.