Skip to main content

Service accounts

Om de veiligheidsrisico's te beperken werken we met enkele specifieke accounts voor de applicatie:

  • app_web: deze account wordt gebruikt voor de cloud run instantie. De rechten op Bigquery zijn beperkt tot het gebruiken van jobs en het lezen van de data in de dataset. (roles/bigquery.dataViewer, roles/bigquery.readSessionUser, roles/bigquery.jobUser)
  • app_cron: we gebruiken deze account voor het periodiek ophalen van de data op de site van stad Gent. Deze account heeft wel schrijfrechten nodig op de BigQuery dataset. (roles/bigquery.dataEditor)
  • app_build: we gebruiken deze account voor het builden van containers.

Maak deze twee accounts uiteraard aan met Terraform, en koppel bovenstaande permissies. Ook hier zal je hoogstwaarschijnlijk een extra api moeten activeren.