我希望我的服务帐户能够在我的存储桶中创建文件和文件夹,但禁止该存储桶中的对象的任何读/列表/下载。我无法弄清楚我的存储桶/服务账户设置了哪些权限。对此有什么想法吗?
您可以查看Google Cloud Storage的一般身份和访问管理(IAM(页面。因此,您可以使用预定义的云存储角色之一,也可以使用所需的特定IAM权限创建自定义角色。让我们遵循这两种方法:
-
标准云存储IAM角色:在此页面中,您可以找到可用的IAM角色的完整列表。给定您存在的用例,您应该考虑使用
roles/storage.objectCreator角色,因为它仅授予storage.objects.create权限,并且您无法查看或列出对象。 -
自定义IAM角色:您可以遵循本指南来创建自定义IAM角色,并定义要授予存储桶的特定权限。在另一页中,您可以看到所有可用权限的列表。您应该使用
storage.objects.create,但是您可能有兴趣添加其他许可,例如storage.objects.delete,以便服务帐户能够覆盖内容(无法使用roles/storage.objectCreator角色完成,因为它没有 delete 权限(。
一般而言,应用您的特定用例,您可以说可以使用roles/storage.objectCreator标准角色。但是,您必须考虑到使用它,您将无法覆盖内容,因此,您也需要storage.objects.delete许可。在这种情况下,您可以创建自定义角色。