Kri*_*fer 3 google-cloud-storage google-cloud-platform
好的,这使我无法忍受,真是太复杂了……
因此,要达到主题的目的,而又不授予用户对所有存储桶中所有文件的读取访问权限(proj中的其他存储桶都具有敏感数据)
我导航到存储桶->权限,并将用户添加为Storage Object Viewer,希望这样做就足够了(以后看来,如果您有直接链接,这就足够了,或者也可能是api),但是尝试导航控制台的用户陷入了困境https://console.cloud.google.com/storage/browser?project=xyz(存储桶浏览器页面)。消息为:“您无权查看此项目中的“存储浏览器”或“存储设置”页面”
如何授予用户访问列表存储区的权限(并因此通过控制台中的UI路径,而又不授予对所有存储的常规读取访问权?)没有所谓的“存储浏览器”或类似角色...创建自定义角色,但需要什么权限,显然storage.objects.list不是。
快速回答:
您需要具有以下角色的自定义角色:
storage.buckets.list
兰特回答:终于找到了完整的权限参考。 https://cloud.google.com/storage/docs/access-control/iam-permissions
知道有storage.bucket ...权限,看起来很容易。但是,使用UI仍然是创建角色的噩梦。模态添加权限很小,只能按角色^^过滤。我不知道具有这些权限的角色,但我知道确切的权限。每页显示10个18xx权限。幸运的是,存储权限已接近尾声,因此添加服务列+反向排序仅花费了2个页面步骤。哦,哇,这就像他们不想让人们理解这一点。
resourcemanager.projects.get和storage.buckets.list权限。Storage Admin如果他们需要读取对象/写入对象/更新权限/完全配置存储桶或Storage Viewer读取存储桶)只能访问)。您可以使用个人电子邮件地址轻松测试这一点,并查看权限是否正确以及是否造成数据泄露。
我的用例:我需要让第三方开发人员访问一个存储桶,该存储桶将保存我们营销网站的资产。他不应该有权访问任何其他存储桶,但应该可以自由添加/删除此营销存储桶中的资产。因此,我分配了开发人员Storage Object Admin角色。
| 归档时间: |
|
| 查看次数: |
1158 次 |
| 最近记录: |