如何让服务帐户只访问一个bucket?如果您只是想让另一个第三方服务访问您的私人存储桶?
问题是默认情况下(服务帐户(可以访问所有bucket,我不知道如何将其限制为只能访问一个bucket。
是否可以通过仪表板或控制台实现这一点?如果这是可能的,从仪表板,然后我想知道的步骤。
谢谢。
编辑**
我有3个bucket,当我创建一个具有(Object Viewer(权限的服务帐户时,它会自动添加到所有3个bucket,当我试图从我不希望它访问的任何bucket的权限中删除它时,我会收到这样的消息:(成员是从另一个策略继承的,不能删除。(
如果你进入谷歌云存储控制台,你会发现你的GCP项目的存储桶列表。单击相关项目右侧的三个垂直点,然后选择"编辑存储桶权限";。然后,您可以使用";添加成员";以向相关服务帐户授予适当的权限。
您需要创建IAM条目,并通过指定条件来限制访问。
例如,如果我希望用户user.email@domain.ext访问具有权限Storage Object Admin的bucketb_1
- 浏览到您的bucket
b_1 - 在烤串菜单上(三个垂直点(>编辑访问
- 添加主体:
user.email@domain.ext - 指定角色:存储对象管理员
- 指定条件
- 输入条件的标题
- 输入描述
- 在条件生成器中,选择"条件类型">:
Resource>Name - 在操作员中,选择
is或Starts With等 - 输入您的存储桶名称
projects/_/buckets/b_1
- 您可能需要输入其他条件类型,例如
Resource>Type并选择storage.googleapis.com/Bucket