谷歌云平台（GCP）提供了强大的服务帐户密钥管理功能，以帮助确保只有经过授权和适当身份验证的实体才能访问GCP上运行的资源。

如果应用程序完全在GCP上运行，管理服务帐户密钥很容易-他们永远不会离开GCP，GCP自动执行按键旋转等任务。但许多应用程序运行在多个环境中—本地开发人员笔记本电脑、本地数据库，甚至运行在其他公共云中的环境。在这种情况下，保持密钥的安全可能很棘手。

确保帐户密钥在多个环境中移动时不会暴露对于维护应用程序安全至关重要。继续阅读，了解在给定应用程序环境中管理密钥时可以遵循的最佳实践。

介绍服务帐户

如果您在GCP上运行代码，设置服务帐户很简单。在本例中，我们将使用Google Compute Engine作为目标计算环境。

保护GCP之外的服务帐户密钥

此外，您需要为服务帐户创建一个新的密钥对，并下载私钥（Google不保留）。请注意，使用外部密钥时，您需要负责私钥的安全性以及密钥轮换等其他管理操作。

应用程序需要能够使用外部密钥才能被授权调用Google云api。使用googleapi客户机库有助于实现这一点。googleapi客户机库使用应用程序默认凭据，以便在调用时获得授权凭据。在GCP之外使用应用程序时，您可以通过将GOOGLE\u application\u CREDENTIALS环境变量指向您下载密钥的位置来使用生成密钥的服务帐户进行身份验证。

下载服务帐户密钥时的最佳实践

密钥旋转

控制对密钥的访问至关重要包含密钥的云存储桶。方法如下：

防止将密钥提交到外部源代码存储库

避免这种情况的一种方法是不使用外部存储库，并将进程放置到位以防止使用它们。GCP为这个用例提供了私有的git存储库。

您还可以采取预防措施来阻止密钥被提交到git repo。一个可以使用的开源工具是git secrets。安装时将其配置为git钩子