Service accounts
Om de veiligheidsrisico's te beperken werken we met enkele specifieke accounts voor de applicatie:
- app_web: deze account wordt gebruikt voor de cloud run instantie. De rechten op Bigquery zijn beperkt tot het gebruiken van jobs en het lezen van de data in de dataset. (
roles/bigquery.dataViewer
,roles/bigquery.readSessionUser
,roles/bigquery.jobUser
) - app_cron: we gebruiken deze account voor het periodiek ophalen van de data op de site van stad Gent. Deze account heeft wel schrijfrechten nodig op de BigQuery dataset. (
roles/bigquery.dataEditor
) - app_build: we gebruiken deze account voor het builden van containers.
Maak deze twee accounts uiteraard aan met Terraform, en koppel bovenstaande permissies. Ook hier zal je hoogstwaarschijnlijk een extra api moeten activeren.