我想知道如何授予 Google Cloud Platform App Engine 项目权限以提供来自 Google Cloud Storage 的内容,而无需将 Google Cloud Storage 存储分区权限设置为“公开共享”。
我的应用引擎项目正在运行 Node JS。在允许用户查看内容之前使用 Passport-SAML 身份验证对用户进行身份验证,因此我不想通过 IAM 在单个用户级别设置访问权限。图像和视频目前是从我的应用程序的私人文件夹中提供的,只有在用户通过身份验证后才能访问。我希望将这些资产移动到 Google Cloud Storage 并允许应用程序读取文件,但不提供全球访问权限。我该怎么做呢?我没有找到任何关于它的文档。
【问题讨论】:
标签: node.js google-app-engine google-cloud-platform google-cloud-storage gcp
默认情况下,当您为项目创建存储桶时,您的应用具有 读取和写入它所需的所有权限。
每当您创建 App Engine 应用程序时,都会有一个默认存储桶,它具有以下优点:
默认情况下,它会随您的应用程序自动创建,但无论如何,您都可以按照我之前在其他地方分享的相同链接来创建存储桶。如果您需要超过 5GB 的免费存储空间,您可以将其设为付费存储桶,您只需为超过前 5GB 的存储空间付费。
然后,您可以将 Cloud Storage Client Libraries 用于 Node.js,并查看一些很好的示例(general samples here 甚至 specific operations over files here)来处理存储桶中的文件。
更新:
这里有一个小的工作示例,说明如何使用 Cloud Storage 客户端库通过身份验证请求从您的私有存储桶中检索图像而不将其公开。它在 Cloud Function 中工作,因此在 App Engine 中重现相同的行为应该没有问题。它并不能完全满足您的需求,因为它仅在存储桶中显示图像,没有在 HTML 文件中进行任何集成,但是您应该能够从中构建一些东西(我不太习惯使用 Node.js,不幸的是)。
我希望这也能有所帮助。
'use strict';
const gcs = require('@google-cloud/storage')();
exports.imageServer = function imageSender(req, res) {
let file = gcs.bucket('<YOUR_BUCKET>').file('<YOUR_IMAGE>');
let readStream = file.createReadStream();
res.setHeader("content-type", "image/jpeg");
readStream.pipe(res);
};
【讨论】:
我认为这可能对你有用https://cloud.google.com/storage/docs/access-control/create-signed-urls-program 我似乎找不到 nodejs 的 API 文档(谷歌真的在搞乱他们的文档网址)。下面是一些示例代码:
bucket.upload(filename, options, function(err, file, apiResponse) {
var mil = Date.now()+60000;
var config = {
action: 'read',
expires: mil
};
file.getSignedUrl(config, function(err, url) {
if (err) {
return;
}
console.log(url);
});
【讨论】: