GCP: IAM和BigQuery

Question

你能告诉我你对这个问题的想法吗？

您正在为跨多个项目的应用程序配置服务帐户。在web-applications项目中运行的虚拟机(VM)需要访问crm-databases-proj中的BigQuery数据集。您希望遵循谷歌推荐的做法来访问web-applications项目中的服务帐户。你应该怎么做？

给web-applications的项目所有者适当的角色给crm-databases-proj。

将项目所有者角色交给crm-databases-proj和web-applications项目。

将项目所有者角色交给crm-databases-proj，bigquery.dataViewer角色给web-applications。

将bigquery.dataViewer角色赋予crm-databases-proj，适当角色赋予web-applications。

这是讨论线。

Answer 1

正如纪尧姆所建议并在公共文献中概述的，基本角色(包括所有者)不应在生产环境中使用：

警告:基本角色包括跨越所有Google服务的数千个权限。在生产环境中，除非别无选择，否则不要授予基本角色。相反，授予满足您需要的最有限的预定义角色或自定义角色。

因此，D是正确的答案。