是否有可能做到这一点?
AWS 中使用 IAM 的类似功能确实支持限制对单个存储桶的访问,但从https://cloud.google.com/compute/docs/access/service-accounts看,它看起来在 GCP 中是不可能的。
问问题
4903 次
3 回答
11
要使用 IAM 权限限制服务账户对特定存储桶的访问,您可以使用 gsutil:
gsutil iam ch serviceAccount:${SERVICE_ACCOUNT}@${PROJECT}.iam.gserviceaccount.com:objectViewer gs://${BUCKET}
并为您要授予的每个角色重复(例如objectAdmin)。
文档在这里Using Cloud IAM with buckets。如果您需要对特定对象进行更精细的控制,则必须使用 ACL。
于 2018-11-27T09:31:08.970 回答
3
身份和访问管理 (IAM) 和服务帐户权限是在一般范围内控制对资源的访问的推荐方法;但是,如果您想自定义对单个存储桶及其对象的访问范围,您应该使用访问控制列表。
我建议您查看创建和管理访问控制列表指南,其中包含有关 ACL 使用的详细信息以及为现有存储桶设置ACL 权限的分步说明。
于 2018-08-03T20:03:44.667 回答
0
什么对我有用:
创建一个新的服务帐户。
编辑存储桶“XYZ”的权限。从点 #1添加
Legacy Bucket Reader服务帐户的角色。
就这样。
我遇到的最大问题是我认为不应该使用 Legacy 角色......
请参阅:https ://cloud.google.com/storage/docs/access-control/iam-roles#legacy-roles
于 2019-07-25T12:35:59.727 回答