Akaun awan Google membayar bil: Cara menggunakan peranan GCP IAM dan akaun perkhidmatan (Akaun Perkhidmatan) untuk mencapai prinsip kebenaran minimum
Dalam bidang keselamatan pengkomputeran awan, ada pelajaran darah dan air mata dari banyak operasi dan penyelenggaraan dan arkitek yang menggunakan aset syarikat dan bahkan anugerah akhir tahun mereka sendiri:"
Di awan, yang lebih menakutkan daripada tidak mempunyai kata laluan adalah bahawa semua orang menggunakan kata laluan pentadbir.
"
Ramai rakan yang baru mengenal Google Cloud (GCP), untuk menyelamatkan masalah, atau kerana terlalu menyusahkan untuk melaporkan kesalahan, mereka sering secara langsung memberikan pengembangan dalam pasukan, atau bahkan skrip tertentu yang berjalan di pelayan, tanpa otak.
Lebih banyak
(Pemilik) atau
Editor
Peranan (editor). Pendekatan ini seperti mengukir puluhan kunci utama pintu rumah anda dan menyebarkannya kepada pembersih, kurir dan orang yang lewat. Setelah komputer yang dibangunkan dipancing oleh penggodam, atau secara tidak sengaja menyerahkan kunci (Kunci) ke gudang GitHub awam dalam kod, penggodam dapat mengambil alih keseluruhan akaun Google Cloud anda dalam beberapa saat, dan mengambil beberapa tahun anda Aset teras dijarah, malah dengan panik membuka beratus-ratus mesin mewah untuk melombong di latar belakang, meninggalkan anda dengan bil pemotongan setinggi langit.
Dalam dunia keselamatan GCP, senjata pertahanan teras yang memegang bahagian belakang disebut
IAM(Identity and Access Management, Identiti dan Kawalan Akses)
。 Jiwa utama keselamatan rangkaian peringkat Dachang adalah dengan tegas melaksanakan
"Prinsip Kebenaran Minimum (Prinsip Kebenaran Minimum)"
-- Hanya berikan orang atau mesin yang betul, pada waktu yang tepat, berikan hak istimewa minimum yang cukup untuk menyelesaikan pekerjaan.
Hari ini kami menolak retorik rasmi dan tidak menghafal klausa yang membosankan. Secara langsung dari pertempuran yang paling sukar, tangan akan membawa anda untuk menjelaskan logik asas IAM, peranan dan akaun perkhidmatan, dan mengimpal satu set pertahanan keselamatan moden standard tinggi untuk aset awan anda.
Tahap pertama: pembongkaran mendalam, "model dunia tiga dimensi" GCP IAM
Untuk memasangkan kebenaran dalam GCP, anda mesti memahami sepenuhnya model operasi fizikal IAM dalam fikiran anda. Sistem kawalan kebenaran IAM Google pada dasarnya terdiri daripada tiga dimensi elemen yang digabungkan dan dikimpal hingga mati:
Siapakah anda? (Members / Principals): Pemegang identiti. Ia boleh menjadi peti mel Google (seperti [email protected]) pekerja syarikat, atau kumpulan logik, atau akaun perkhidmatan yang akan kita fokuskan kemudian.
Apa yang awak boleh buat? (Roles): Ini adalah kumpulan watak. Peranannya adalah sekumpulan "pakej hadiah besar" kebenaran khusus (Permission). Sebagai contoh, jika anda ingin melihat senarai pelayan, anda memerlukan kebenaran komut.instances. list; jika anda ingin memulakan semula pelayan, anda memerlukan kebenaran komut.instances. start. Google mengemas kebenaran kecil ini bersama-sama dan menjadi pelbagai "watak"
”.
Di mana awak buat? (Sumber/Hierarchy): Ini adalah tahap sumber. Ini adalah reka bentuk yang elegan untuk GCP. Anda boleh meletakkan kebenaran pada keseluruhan tahap "Organisasi", atau pada tahap "Projek" tertentu, atau bahkan tepat pada "Bucket GCS" tertentu.
Insider keselamatan teras: Kebenaran diwarisi ke bawah. Sekiranya anda memberikan hak kepada pekerja tertentu di peringkat organisasi, maka dia adalah dewa tertinggi dalam semua sub-projek, semua pelayan, dan semua pangkalan data di bawah syarikat ini. Oleh itu, dilarang sama sekali untuk peranan peringkat tinggi dalam organisasi atau pengurusan projek peringkat tinggi.
Tahap kedua: inti mati, "tiga lubang kuasa besar" yang dilarang keras oleh pengeluar utama
Sebelum konfigurasi, mari kita "menyahtoksin" kognisi anda. Tiga pendekatan berikut adalah veto mutlak dalam audit keselamatan perusahaan formal:
1. Penyalahgunaan Peranan Asas (Primitive Roles)
Peranan asas merujuk kepada yang lama
Pemilik
(Pemilik),
Editor
(Editor),
Viewer
(Penonton). Jenis watak ini adalah barang antik "luas". Editor dapat menambahkan, menghapus dan mengubah hampir apa sahaja dalam projek (dari mengubah kod hingga menghapus pangkalan data).
Penyelesaian standard: Merangkul sepenuhnya watak yang telah ditentukan (Predefined Roles). Sekiranya anda perlu menguruskan mesin maya, anda hanya perlu memberikannya kepada Pengurus Komputer; jika anda hanya perlu melihat log, anda hanya perlu memberi Logging Viewer. Biarkan orang profesional melakukan perkara profesional.
2. Sijil Peribadi untuk Penggunaan Mesin (Kredit Pengguna)
Banyak pendatang baru telah menulis skrip automatik untuk membuat sandaran pangkalan data awan secara berkala di dalam negara. Untuk membuat skrip berjalan, dia langsung menjalankannya secara tempatan dengan akaun peribadinya
Log masuk automatik gcloud
。
Bencana berlaku: Setelah pekerja mengundurkan diri dan syarikat membatalkan peti melnya, skrip sandaran yang telah berjalan di persekitaran pengeluaran selama setengah tahun akan runtuh serta-merta kerana kegagalan kebenaran.
Penyelesaian standard: orang berjalan di jalan orang, mesin berjalan di jambatan mesin. Semua program, kod, dan sistem pihak ketiga yang perlu berinteraksi dengan GCP mesti menggunakan akaun perkhidmatan.
Tahap ketiga: latihan praktikal-menggunakan akaun perkhidmatan untuk membuka rantai keselamatan tanpa kunci
Mari kita simulasi senario pengeluaran komersial yang paling standard: anda menulis program backend Python, yang digunakan di GCP
Mesin Maya Kejuruteraan Komputer (GCE)
Di dalam. Program ini perlu pergi setiap hari
Bucket Penyimpanan Awan (GCS)
Baca gambar avatar pengguna dan tulis log masuk
Cloud Logging (hari
Perkhidmatan)
。
Sekiranya anda mengikuti amalan asal, anda perlu pergi ke latar belakang untuk menghasilkan fail kunci JSON (Kunci) yang mengandungi kata laluan, kemudian muat turun dan masukkan ke dalam pakej kod pelayan.
Tetapi peraturan keselamatan kilang besar memberitahu anda: Di awan, semua fail kata laluan teks biasa yang dapat dilihat adalah bom waktu yang bocor.
Kami menggunakan akaun perkhidmatan asli GCP untuk mengikat IAM untuk mencapai "kunci sifar, keselamatan tinggi" yang sebenar di awan:
Langkah 1: Buat Identiti Mesin Eksklusif (Perkhidmatan Akaun)
Memasuki
Konsol GCP
, Cari di menu navigasi bahagian kiri atas
"IAM & Pengurusan (IAM & Admin)"-> "Akaun Perkhidmatan"
。
Klik "Buat Akaun Perkhidmatan" di bahagian atas.
Nama akaun perkhidmatan: dinamakan gce-web-app-runner. Ia secara automatik akan menghasilkan peti mel mesin eksklusif yang berbentuk seperti [email protected].
Klik Buat dan teruskan.
Langkah 2: Perfusi tepat kebenaran minimum (pengikatan IAM)
Pada halaman penciptaan yang sama, sistem akan bertanya kepada anda peranan apa yang ingin anda berikan kepada identiti mesin ini. Kami dengan tegas tidak memilih Editor dan melakukan pemotongan kebenaran yang tepat:
Klik pada menu lungsur watak, cari dan pilih "Storage Object Viewer (Disimpan Objek Viewer)". Catatan: Karakter ini hanya membenarkan membaca fail di baldi. Walaupun penggodam mengawal pelayan, dia tidak akan mahu memasukkan kuda Trojan ke dalam baldi anda atau mengosongkan keseluruhan baldi dengan satu klik.
Klik "Tambah watak lain", cari dan pilih "Logs Writer (log menulis)". Catatan: Hanya kebenaran untuk menulis log, bukan kebenaran untuk melihat log sistem lain.
Klik Selesai.
Langkah 3: Gabungan jiwa-memasang identiti ke mesin maya
Identiti dan kebenaran semuanya dilengkapi, dan sekarang kita mahu mesin maya yang menjalankan kod "memakai pakaian ini".
Datang ke Computer Engine -> halaman contoh VM, klik pada pelayan web anda, klik Edit.
Klik ke bawah dan cari item konfigurasi "Akaun Perkhidmatan".
Dalam menu drop-down, potong akaun perkhidmatan Default lalai yang asal dan pilih dengan tepat gce-web-app-runner yang baru anda buat.
Ubah suai "Akses Akses" di bawah menjadi "Benarkan akses penuh ke semua APIs Cloud". Kisah dalaman teknologi arkitek: Ini adalah tempat paling mudah bagi banyak pemula untuk keliru. Penggunaan awal GCP
"Skop akses" untuk mengawal kereta, sekarang kaedah ini sudah ketinggalan zaman. Spesifikasi generasi baru adalah: Hidupkan Lampu Hijau di sini, dan pindahkan sepenuhnya pintu keselamatan kebenaran sebenar kepada watak IAM pada langkah kedua di atas untuk mengambil alih.
Klik Simpan dan mulakan semula contoh.
Momen keajaiban: "Kemahiran sihir tanpa kunci" di dalam kod
Sekarang, anda menyambung ke pelayan ini dan melihat kod Python anda. Anda tidak perlu menulis apa-apa dalam kod
AWS_ACCESS_KEY
Atau kodkan fail kata laluan JSON Google di dalamnya. Anda hanya perlu memanggil SDK rasmi Google secara langsung:
Python
Dari google.cloud import storage
# Suntikan jiwa: Tidak perlu melewati parameter utama sama sekali, SDK secara automatik akan pergi ke kad rangkaian tuan rumah untuk mengendus identiti Akaun Perkhidmatan yang dipasang
Storage_client = storage.Client()
Bucket = storage_client.bucket("my-user-avatars")
Blog = bucket.blob("user_101.jpg")
# Bacaan sutera
Data = blob.download_as_bytes()
Cetak ("Data berjaya dibaca tanpa rahsia! ")
Oleh kerana identiti dan kebenaran melengkapkan gelung tertutup semula jadi di bahagian bawah rangkaian Google, tidak ada kata laluan teks biasa dalam kod persekitaran pengeluaran anda. Walaupun penggodam membalikkan gudang Git anda, mereka tidak akan mahu mencuri sedikit pun dari kedaulatan awan.
Tahap keempat: sejarah operasi dan penyelenggaraan komersial dan pengukuhan garis pertahanan
Setelah seni bina tanpa kunci ini berjalan, faktor keselamatan aset awan anda telah melebihi 95% pasukan gaya bengkel. Tetapi sebagai Ketua Pegawai Keselamatan (CISO), anda mesti segera mengeluarkan perintah pentadbiran untuk mengimpal dua lubang tersembunyi berikut yang terdedah kepada kemalangan keselamatan besar:
1. Dilarang sama sekali menghasilkan "Kunci Akaun Perkhidmatan (Kunci JSON)" secara manual
Di halaman perincian akaun perkhidmatan, terdapat tab yang disebut "Kunci", yang membolehkan anda mengklik "Buat Kunci Baru" dan memuat turun fail JSON.
Realiti kejam: Untuk kemudahan, banyak perkembangan terlalu malas untuk dilengkapi dengan pemboleh ubah persekitaran ketika menyahpepijat kod secara tempatan, dan secara langsung menghasilkan kunci JSON untuk dikunci di komputer mereka sendiri. Setelah komputernya hilang, atau dia secara peribadi menyebarkan fail ini di WeChat ketika dia meninggalkan pekerjaannya, kawat berduri keselamatan syarikat itu langsung terkoyak. Dan kunci yang dihasilkan secara manual ini mempunyai tempoh sah lalai selama beberapa tahun, yang sangat sukar untuk diaudit.
Spesifikasi pertahanan pengeluar utama: Secara asasnya melarang penciptaan kunci akaun perkhidmatan melalui Dasar Organisasi. * Sekiranya dikembangkan pada komputer tempatan, ia benar-benar perlu debug
, Arahkan mereka untuk menggunakan perintah log masuk korporat automatik gcloud untuk mendapatkan sijil kesan pendek dinamik sementara melalui peti mel Google korporat peribadi mereka. Sekiranya ia adalah panggilan lintas awan (seperti mesin AWS yang ingin menyambung ke GCP), gunakan Persekutuan Identiti Beban Kerja (kesatuan identiti beban kerja), biarkan AWS menggunakan token OIDC dan GCP sendiri untuk memisahkan secara langsung isyarat rahsia ke udara untuk mencapai komunikasi dua arah tanpa kunci fizikal.
2. Memeluk serangan pengurangan dimensi "IAM Conditions"
Setelah kebenaran tradisional diberikan, ia akan berlaku 24 jam sehari. Tetapi jika syarikat anda mengalami kegagalan dalam talian yang mendesak, anda perlu meminta pakar penyumberan luar untuk masuk sementara untuk melihat pangkalan data persekitaran pengeluaran petang ini, dan menarik balik kebenaran selepas hari ini, apa yang harus anda lakukan?
Kaedah asal: Dengan watak hari ini, saya hanya perlu ingat untuk menghapusnya ketika saya keluar bekerja. Sekiranya anda terlupa, akaun pakar penyumberan luar menjadi bahaya tersembunyi yang kekal.
Konfigurasi spesifikasi lanjutan: Semasa memberikan peranan di halaman IAM, klik "Add Condition". Anda boleh menulis peraturan yang sangat tepat: "Hanya apabila waktunya antara pukul 13:00 hingga 18:00 dari 2026-05-30 dan IP sumber yang diminta adalah IP rangkaian awam pejabat syarikat, kebenaran pengguna akan berlaku." Selagi jam melepasi jam 18:00, otak rangkaian Google secara automatik akan membatalkan pas pengguna dengan serta-merta. Fius secara berkala, tanpa meninggalkan jejak masalah.
Ringkasan
Dalam Google Cloud untuk memainkan standard pengurusan kebenaran minimum, inti pati industri sebenarnya terletak pada enam belas perkataan:
Orang berjalan dengan cara yang berperikemanusiaan, memasang mesin, menghilangkan teks biasa, dan memecahkan ketepatan masa
。
Keselamatan awan tidak pernah bergantung pada pelbagai peraturan dan undang-undang lisan yang rumit untuk menahan sifat manusia, tetapi bergantung pada mekanisme IAM yang diedarkan ini yang lancar dan tenggelam ke dasar awan untuk membentuk pengasingan pengurangan dimensi fizikal. Berikan dominasi kepada "prinsip kebenaran minimum", sambil menikmati kesegaran pengembangan utama yang dibawa oleh komunikasi tanpa kunci, biarkan seluruh kerajaan perniagaan awan anda stabil di rangkaian awam.