Quel est exactement l'objectif de permettre l'usurpation des comptes de service dans Google Cloud Platform? Quelqu'un peut-il donner des exemples de scénarios où cela peut être utile ou nécessaire?
Les comptes de service sont un compte Google spécial (non attaché à un utilisateur) qui est associé à une application ou à une VM qui ne nécessite pas d'authentification de l'utilisateur final.
L'objectif de l'usurpation d'identité est de donner la permission à un utilisateur d'utiliser un compte de service et d'accorder l'accès à ces autorisations de compte de service sans les lui accorder directement.
L'usurpation d'identité des comptes de service est utile dans des scénarios où vous devez accorder un accès à court terme à une ressource spécifique.
Exemples : vous avez un compartiment de données importantes qui est généralement en lecture seule et vous souhaitez accorder temporairement un accès en écriture par le biais de comptes de service de confiance.
D'autres exemples dans la documentation de Google Cloud sur l'usurpation des comptes de service.
Mais ne pourriez-vous pas y parvenir via les Rôles? Vous donnez le rôle à l'utilisateur et le retirez plus tard? Même pour un compte de service, vous devriez faire la même chose après que l'utilisateur ait accompli sa tâche, n'est-ce pas?
Oui, vous le pouvez, peut-être dans de petits projets avec peu de ressources et d'utilisateurs peuvent fonctionner, mais ce n'est pas une bonne pratique. L'usurpation d'identité vous permet de traiter un SA comme une ressource que vous pouvez attribuer à plusieurs utilisateurs, de sorte que de cette manière, les utilisateurs (internes ou externes) peuvent avoir accès à une ressource ou une application spécifique et ainsi ils peuvent travailler ensemble. Par exemple : vous avez un travail qui nécessite beaucoup de temps que vos employés ont l'autorisation de démarrer. Vous ne voulez pas que ce travail soit interrompu lorsque l'employé qui l'a démarré en dernier quitte l'entreprise.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
1 votes
medium.com/google-cloud/… "Il s'agit d'un cas d'utilisation courant dans une architecture basée sur les services : les services effectueront des actions (par exemple, enregistrer un enregistrement, récupérer un blob) au nom des utilisateurs."
0 votes
@ceejayoz cet article parle de l'inverse (c'est-à-dire l'usurpation de l'identité d'un utilisateur avec un compte de service)