1

假设我有:

  • 一个 Google Cloud Storage 存储桶bucketxyz和两个用户组:group1group2
  • 额外的第三组allusers,包括group1和中的所有用户group2

接着:

  • 一个IAM策略bucketxyz授予对. _allusers _group1

还要考虑两个文件bucketxyzfile_shared.txtfile_resticted.txt这两个场景:

  1. file_shared.txt可以由某人编写,group1但也可由用户访问group2-只需使用上述 IAM 策略即可。
  2. file_restricted.txt只能由group1.

是否可以通过对in使用专用ACL 规则来实现场景 #2 ?如果是,如何?file_restricted.txtbucketxyz

4

1 回答 1

2

IAM 中的权限是同心的,并且没有“拒绝”的概念 - 如IAM 策略层次结构文档中所述,“子策略不能限制在父级授予的访问权限”。

要实现group1andgroup2可以访问file_shared.txt但只能group2访问的情况file_restricted.txt,您需要按对象授予对group1and的访问权限group2。或者,您可以在级别授予group2读/写访问权限,并将每个对象的读访问权限授予.bucketxyzgroup1

于 2018-03-05T21:52:06.820 回答