オンプレミス環境からGCSバケットにファイルのアップロード、最小権限の設定について
背景
エンドユーザーはオンプレミス環境から GCS バケットへファイルアップロードしたいという要望がありますが、情報はこれだけで、直接に聞くのも難しかったです。
GCP プロジェクトは組織なしで作られていますが、Google Workspace を利用しているかどうか、Google アカウントを持っているかどうか、オンプレミス環境はどんな状況かなどなど、そういう要素に左右されないように、考えてみました。
案
GCP プロジェクトでサービスアカウントを発行し、ロールの「Storage オブジェクト作成者」を付与し、サービスアカウントキーを作成してから、エンドユーザーのオンプレミス環境の Docker コンテナからファイルアップロードすることにしました。
バケットの作成
ストレージクラスの STANDARD、東京リージョン、均一のバケットを作成します。
export PROJECT_ID=
export BUCKET_ID=
export DEV_BUCKET_ID=$BUCKET_ID-dev
# create bucket
gsutil mb -p $PROJECT_ID -c STANDARD -l ASIA-NORTHEAST1 -b on gs://$DEV_BUCKET_ID
# check bucket's iam
gsutil iam get gs://$DEV_BUCKET_ID
継承した権限の確認
センシティブな情報を取り扱うバケットなら、プロジェクトレベルで設定した権限を継承していることはあるから、(gsutil iam get
のコマンドはプロジェクトレベルから継承した権限確認できないため、)Console 上でバケットの権限を確認します。デフォルトの場合、基本ロール(Owner, Editor, Viewer)もバケットにアクセスできますが、必要なければ、削除しましょう。しかし、オーナーまで削除、且つStorage Adminに相当するロールを持つメンバーがいなければ、操作不能なバケットになります。
サービスアカウント、キーの発行
オンプレミス環境で使うサービスアカウント、キーを作成し、そして、バケットレベルで Storage Object Creator のロールをサービスアカウントに付与します。
export PROJECT_ID=
export SER_ACC_ID=
export DEV_SER_ACC_ID=$SER_ACC_ID-dev
# create service account
gcloud iam service-accounts create $DEV_SER_ACC_ID --project $PROJECT_ID \
--description "" --display-name $DEV_SER_ACC_ID
# create key file for service account
gcloud iam service-accounts keys create {KEY_FILE_PATH} \
--project $PROJECT_ID --iam-account $DEV_SER_ACC_ID@$PROJECT_ID.iam.gserviceaccount.com
# grant objectCreator role to service account
gsutil iam ch serviceAccount:$DEV_SER_ACC_ID@$PROJECT_ID.iam.gserviceaccount.com:objectCreator \
gs://$DEV_BUCKET_ID
Dockerfile 作成
Google Cloud SDK のインストールを行ったら、gsutil
は使えるようになりますが、あえてGoogle Cloud SDK Dockerを使います。まず、ファイルの配置はこちらです。
├── Dockerfile
├── certs
│ └── service-account-keyfile.json
├── csv
│ └── testdata.csv
└── docker-entrypoint.sh
Dockerfile
FROM google/cloud-sdk:slim
COPY ./docker-entrypoint.sh /
ENTRYPOINT ["/docker-entrypoint.sh"]
docker-entrypoint.sh
#!/bin/bash
set -e
usage() {
echo "Usage: $0 [-f upload csv file path] [-b gcs bucket name]" 1>&2
exit 1
}
while getopts f:b:h OPT
do
case $OPT in
f) FILE_PATH=$OPTARG
;;
b) BUCKET_NAME=$OPTARG
;;
h) usage
;;
esac
done
if [ ! -f "$FILE_PATH" ]; then
echo "$FILE_PATH does not exist."
exit 0
fi
# service account login
gcloud auth activate-service-account --key-file=/certs/service-account-keyfile.json
# upload file to GCS
gsutil cp $FILE_PATH gs://$BUCKET_NAME
アップロード
下記のコマンドを実行すれば、ファイルは GCS バケットにアップロードできます。
export BUCKET_ID=
export DEV_BUCKET_ID=$BUCKET_ID-dev
# create docker image
docker build -t uploader-gcloud .
# upload testdata.csv
docker run --rm \
--mount type=bind,source=$PWD/certs,target=/certs \
--mount type=bind,source=$PWD/csv,target=/csv \
uploader-gcloud -f /csv/testdata.csv -b $DEV_BUCKET_ID
雑談
そもそも、エンドユーザー環境に Docker を入れさせるのもハードル高いかもしれません。でも、これはチャレンジしないとわからない話と思って、結局、エンドユーザーは Google アカウントを作って、ロールの「Storage Object Creator」+権限の「storage.buckets.list、storage.objects.list」を付与した形で、日々 Console 上で操作することになりました。(人手不足は?)
とはいえ、Docker 初心者の自分にとって、Google Cloud SDK Docker は権限確認などに結構便利なツールだと認識できました。
Author And Source
この問題について(オンプレミス環境からGCSバケットにファイルのアップロード、最小権限の設定について), 我々は、より多くの情報をここで見つけました https://qiita.com/kyou_rai/items/1d300b48949484509199著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .