GCP默认服务帐户最佳安全实践

Question

因此，我们有一个"Compute Engine默认服务帐户“，并且一切都很清楚：

• 它是一个权限过大的遗留帐户
• 过去，它受到分配给每个GCE实例或实例组的“范围”的限制。
• 建议删除此帐户，并为每个服务使用自定义服务帐户，并遵循最小特权原则。

1. 文档中提到的第二个“默认服务帐户”是“mentioned默认服务帐户”。想必它是分配给App实例的，它也是一个遗留的东西，需要与Compute默认服务帐户相类似。对吗？
2. 那么"Google服务代理“呢？它有“编辑”的角色。据我所知，GCP在内部使用这个帐户，我作为用户创建的任何自定义资源都不会访问该帐户。这是否意味着没有理由为了遵守最佳安全实践而减少其权限？

Answer 1

--您不必删除 默认服务帐户 ，但是，在某些时候，最好创建具有作业所需的 最小权限 的帐户，并改进权限以满足您的需要，而不是使用默认的权限。

您可以完全控制该帐户，因此可以随时更改它的权限，甚至删除它：

Google创建Compute Engine默认服务帐户并将其自动添加到您的项目中，但您可以完全控制该帐户。 Compute Engine默认服务帐户是使用IAM基本编辑器角色创建的，但您可以修改服务帐户的角色以控制服务帐户对Google的访问。 可以从项目中禁用或删除此服务帐户，但这样做可能会导致任何依赖服务帐户凭据的应用程序失败。

如果有东西停止工作，你可以收回帐户最多达90天。

它也是可取的在开发期间不要使用服务帐户，因为这可能会带来安全风险在未来。

Google服务代理

此服务帐户专为您运行内部Google进程。该帐户由Google拥有，不在云控制台的section部分中列出

按顺序：

某些资源依赖于此服务帐户和授予该服务帐户的默认编辑器权限。例如，托管实例组和自动标度使用此帐户的凭据来创建、删除和管理实例。如果您撤销对服务帐户的权限，或者修改这些权限，使其不授予创建实例的权限，这将导致托管实例组和自动标号停止工作。 出于这些原因，您不应该修改此服务帐户的角色，除非角色推荐明确建议您修改它们。

尽管如此，我们可以得出结论，删除默认服务帐户或Google服务代理都是危险的，需要进行大量的准备，(特别是后者)。

请看一下最佳做法文件，它描述了管理服务帐户时推荐的内容和不推荐的内容。

此外，您还可以查看保护他们不受任何曝光和更改实例的服务帐户和访问范围。

Answer 2

当你谈论安全的时候，你特别是谈论风险。那么，默认服务帐户的风险是什么呢？

如果您在GCE或Cloud ( Compute默认服务帐户)上使用它们，则您具有权限。如果您的环境是安全的，则风险很低(特别是在云运行时)。在GCE上，风险更高，因为您必须跟上VM，并控制防火墙规则来访问VM。

注意:默认情况下，Google在端口22、RDP和ICMP上创建一个防火墙规则为0.0.0.0/0的VPC。默认情况下，这也是一个需要修复的安全问题。

App默认服务帐户默认由App使用，而Cloud函数默认使用。与云运行一样，风险可以被认为是低的。

另一个重要方面是在这些默认服务帐户上生成服务帐户密钥文件的能力。服务帐户密钥文件是简单的JSON文件，其中包含一个私钥。这一次风险很高，因为一些开发人员非常关心该文件的安全性。

注意:在以前的公司中，我们唯一的安全问题来自这些文件，特别是带有编辑器角色的服务帐户。

大多数情况下，用户不需要一个服务帐户密钥文件来开发(我在媒体上写了一堆文章)

有两种方法可以减轻这些风险。

1. 执行IaC (Infra作为代码，使用类似teraform的产品)来创建和部署您的项目，并强制执行您在公司中定义的所有最佳安全实践(没有默认防火墙规则的VPC，服务帐户上没有编辑器角色，.)
2. 使用组织政策，特别是这个“禁用服务帐户键创建”来阻止服务帐户密钥创建，而这个“禁用自动IAM for Default帐户”来防止在默认服务帐户上的编辑器角色。

删除并不是一种解决方案，但是了解风险、团队中良好的安全文化和一些组织策略才是关键。