Amazon STS提供获取 IAM 令牌并创建该令牌功能的有限子集以供其他用途的能力。能力子集可以按时间(N 小时后到期)和允许的操作(例如读取一个 S3 存储桶但不是原始令牌可以读取的所有 S3 存储桶)。
因为这是使用支持 S3 密钥名称中的通配符的S3 ARN 格式完成的,这意味着可以创建一个可以读取 S3 存储桶的一部分的子令牌。
查看 Google Cloud Storage 的访问控制文档,我在 GCS 中找不到与此功能等效的功能。
更具体地说,我想用这四个对象创建一个桶:
/folder1/file1
/folder1/file2
/folder2/file3
/folder2/file4
并给定一个有权无限期访问所有文件的令牌,生成一个有限的令牌子集,该子集有权在N 小时内仅查看/folder2/*
(so/folder2/file3
和) 中的对象。/folder2/file4
这在 GCS 中是否可能像在 S3/STS 中一样?