3

我创建了一个服务用户:

gcloud iam service-accounts create test01 --display-name "test01"

我给了他对 Cloud Storage 的完全访问权限:

gcloud projects add-iam-policy-binding project-name \
--member serviceAccount:test01@project-name.iam.gserviceaccount.com \
--role roles/storage.admin

此代码有效:

from google.cloud import storage
client = storage.Client()

buckets = list(client.list_buckets())
print(buckets)

bucket = client.get_bucket('bucket-name')
print list(bucket.list_blobs())

但是我的项目有多个用于不同环境的存储桶,出于安全原因,我只想为每个用户 添加一个存储桶的访问权限。

文档中我发现了这段文字:

当应用于单个存储桶时,控制仅适用于指定的存储桶和存储桶内的对象。

如何应用roles/storage.admin到单个存储桶?

更新:
我尝试了 ACL,但有一个问题:我添加了对用户的访问权限:

gsutil iam ch \
  serviceAccount:test01@project-name.iam.gserviceaccount.com:legacyBucketOwner \
  gs://bucket-name

用户可以列出所有文件、添加文件、创建文件、查看自己的文件。
但是用户不能查看其他用户的文件。

更新 2:
我更新了默认 ACL:

gsutil defacl ch -u \
  test01@project-name.iam.gserviceaccount.com:OWNER gs://bucket-name

我等了很长时间,由另一个用户创建了另一个文件,但test01.

解决方案:
我从头开始制作它,它可以工作:

gsutil mb -p example-logs -c regional -l EUROPE-WEST2 gs://example-dev
gcloud iam service-accounts create test-dev --display-name "test-dev"
gcloud iam service-accounts create test-second --display-name "test-second"
# download 2 json keys from https://console.cloud.google.com/iam-admin/serviceaccounts
gsutil iam ch serviceAccount:test-dev@example-logs.iam.gserviceaccount.com:legacyBucketOwner gs://example-dev
gsutil iam ch serviceAccount:test-second@example-logs.iam.gserviceaccount.com:legacyBucketOwner gs://example-dev
gsutil defacl ch -u test-dev@example-logs.iam.gserviceaccount.com:OWNER gs://example-dev
4

1 回答 1

3

为了让用户使用存储桶,该用户必须被授予使用该存储桶的权限。这是通过权限实现的。权限可以绑定到角色中,我们可以给用户一个角色,这意味着用户将拥有该角色。

例如,可以为用户分配“存储管理员”角色,然后就可以对项目中的所有存储桶执行工作。

如果这太多,那么您可以选择不给用户“存储管理员”,然后将不允许访问任何存储桶。显然这限制性太强了。然后,您可以选择您希望用户访问的各个存储桶,并为每个存储桶更改这些存储桶的权限。在存储桶的权限内,您可以命名用户和角色。对于那个存储桶,命名用户将具有命名角色。

有关更多详细信息,请参阅创建和管理访问控制列表 (ACL)

于 2018-10-10T14:17:06.640 回答