Google強(qiáng)化App Engine應(yīng)用程序安全，加入管理服務(wù)賬戶新功能

Google更新其無服務(wù)器應(yīng)用程序托管平臺App Engine，加入兩項(xiàng)新功能，除了提供用戶更多出站流量控制（Egress Controls）能力之外，也加入用戶管理服務(wù)賬戶，使得用戶能夠應(yīng)用最低權(quán)限，來增加在App Engine上應(yīng)用程序的安全性。

App Engine為一個完全托管的應(yīng)用程序平臺，對應(yīng)用程序的出站流量提供了一個IP地址池，讓用戶能夠不必管理網(wǎng)絡(luò)細(xì)節(jié)就能提供服務(wù)，對不少用戶方便且已經(jīng)足夠，不過，有部分App Engine用戶需要對出站請求進(jìn)行更多的控制，因此Google加入了新功能來滿足這些用戶的需求。

App Engine的出站流量控制新功能，借助Cloud VPC服務(wù)中的無服務(wù)器VPC訪問功能，無服務(wù)器VPC訪問功能，可讓用戶配置連接器，將請求從App Engine應(yīng)用程序路由到自己的VPC網(wǎng)絡(luò)，而出站流量控制，能使用戶更好地控制使用VPC連接器的流量。

Google提到，出站流量控制的重要使用案例，是對App Engine的HTTP請求創(chuàng)建靜態(tài)出站IP地址，因?yàn)椴糠諥pp Engine用戶提供的SaaS服務(wù)，必須連接到終端用戶網(wǎng)絡(luò)，不過這些終端用戶通常傾向只對特定來源IP的流量打開防火墻，而借由出站流量控制，用戶就可以使用無服務(wù)器VPC訪問和Cloud NAT來配置靜態(tài)IP地址。

App Engine另一項(xiàng)新功能，是讓用戶可以對每個應(yīng)用程序版本，指定不同的服務(wù)賬戶。目前App Engine使用默認(rèn)服務(wù)賬戶，來代表App Engine應(yīng)用程序和其他GCP服務(wù)交互，而這個默認(rèn)服務(wù)賬戶，是在初始App Engine應(yīng)用程序過程中設(shè)置的，用戶可以管理并授給該服務(wù)賬戶的權(quán)限，但因?yàn)檫@個賬戶被應(yīng)用程序的所有服務(wù)使用，因此無論特定服務(wù)需要的權(quán)限為何，所有服務(wù)都共享同一個權(quán)限集。

而現(xiàn)在Google加入用戶管理服務(wù)賬戶新功能，讓用戶可以對應(yīng)用程序的每個版本，指定使用不同的服務(wù)賬戶，限制每個服務(wù)賬戶僅具執(zhí)行任務(wù)需要的權(quán)限，而非對單一共享服務(wù)賬戶，授給應(yīng)用程序中的所有服務(wù)需要的權(quán)限，好處是用戶可以遵循最低權(quán)限的最佳實(shí)踐。當(dāng)用戶未指定服務(wù)賬戶，則App Engine使用默認(rèn)服務(wù)賬戶。