Роли IAM для Google Cloud Natural Language API

Я хочу использовать API Google Cloud Natural Language с его библиотекой Node.js. Для аутентификации я использую учетную запись службы, как указано в документации Документы предлагают использовать роль «Владелец», но для производственных «более детальных» разрешений. К сожалению, они не упоминают доступные роли. Я также не нахожу роли в документах IAM, где я обычно ищу роли / разрешения. .

Какие роли доступны для NLP API? Существуют роли AutoML, и, поскольку AutoML связан с NLP, может быть, они подходят?

Мои тесты показали, что на самом деле не имеет значения, какую роль я использую. Даже такое, как "BigQuery MetadataViewer", предоставит доступ к NLP API ?! Однако я хотел бы использовать правильную роль вместо случайной, и что-то, когда позже что-то сломается.

Кроме того, в документе ключей API говорится, что NLP API - это только доступный через API-ключ, но сам документ NLP говорит вам использовать сервис-аккаунт. Я предполагаю, что ключ API - это устаревшая информация.


authentication google-cloud-platform google-iam google-natural-language
person pHiL    schedule 31.07.2019    source источник
comment
Когда доходит до IAM, я обычно думаю о негативных последствиях несоответствующего доступа. Например, удаление файла или вставка записи в базу данных. Я понимаю НЛП так, что я даю отрывок текста, и он возвращается с аннотациями того, что этот текст содержит. Тогда возникает вопрос ... А что, если, помимо стоимости использования сервиса, может возникнуть какое-либо отрицательное разветвление в результате использования НЛП? Какие роли могут иметь смысл для этой службы?   -  person Kolban    schedule 31.07.2019
comment
Что ж, я использую IAM для каждой службы из соображений безопасности, и каждая служба получает только те разрешения, которые ей действительно нужны. Таким образом, поверхность атаки в случае взлома микросервиса сводится к минимуму. Также очень помогает возможность определить, какой ключ вызвал какую стоимость.   -  person pHiL    schedule 02.08.2019

Ответы (1)


arrow_upward
3
arrow_downward

Cloud Natural Language использует роли AutoML, поскольку он является частью продуктов AutoML. В настоящий момент в роли Auto ML входят: AutoML Admin, AutoML. Редактор, AutoML Predictor и AutoML Viewer.

Вы должны проанализировать, какие роли вы будете использовать в своем приложении, и, определив это, вы сможете решить, какие тип ролей подходит для вашего приложения, помните, что с настраиваемые роли, вы можете определить уровень доступа, необходимый для ваших пользователей.

Имейте в виду, что учетная запись службы является особым типом учетной записи Google и не привязана к пользователю; таким образом, ресурсы, которые использовали эту учетную запись службы, не нуждаются в аутентификации конечного пользователя, поэтому рекомендуется использовать служебный аккаунт, в котором вы работаете с клиентской библиотекой (Node.JS).

person Enrique Zetina    schedule 31.07.2019
comment
Спасибо. Тогда я буду использовать роль AutoML. Кстати, я хорошо знаю GCP и IAM. API-ключ и сервис-аккаунт все еще сбивает с толку NLP API. Он по-прежнему указан как доступный только через ключ API, например API Карт. - person pHiL; 02.08.2019
comment
Я думаю, что доступность только через ключ API означает, что с ключом API следует использовать только упомянутые API, и невозможно использовать ключи API для ограничения доступа для определенных пользователей или учетных записей служб. - person Enrique Zetina; 03.08.2019