2

Amazon STS提供获取 IAM 令牌并创建该令牌功能的有限子集以供其他用途的能力。能力子集可以按时间(N 小时后到期)和允许的操作(例如读取一个 S3 存储桶但不是原始令牌可以读取的所有 S3 存储桶)。

因为这是使用支持 S3 密钥名称中的通配符的S3 ARN 格式完成的,这意味着可以创建一个可以读取 S3 存储桶的一部分的子令牌。

查看 Google Cloud Storage 的访问控制文档,我在 GCS 中找不到与此功能等效的功能。

更具体地说,我想用这四个对象创建一个桶:

/folder1/file1
/folder1/file2
/folder2/file3
/folder2/file4

并给定一个有权无限期访问所有文件的令牌,生成一个有限的令牌子集,该子集有权在N 小时内仅查看/folder2/*(so/folder2/file3和) 中的对象。/folder2/file4

这在 GCS 中是否可能像在 S3/STS 中一样?

4

1 回答 1

1

目前,在 GCP 中没有代币具有另一个代币能力的有限子集。

与您所问的最相似的是Signed URLs,因为它们允许对 Cloud Storage 对象进行限时访问。

我不知道为什么您需要它们具有作为另一个令牌的子集的功能,但在您的情况下,您可以创建具有查看 /folder2/* 中对象的权限的签名 URL

于 2018-08-30T11:13:11.887 回答