使用 roles/storage.legacyBucketWriter 在存储桶中读/写是不是很糟糕?

【问题标题】:Is it bad to use roles/storage.legacyBucketWriter to read/write in a bucket?使用 roles/storage.legacyBucketWriter 在存储桶中读/写是不是很糟糕?
【发布时间】:2020-09-15 13:41:45
【问题描述】:

我发现自己使用了很多具有以下权限的 roles/storage.legacyBucketWriter

  • storage.buckets.get
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.list

可能没关系,但我觉得使用名称中带有 legacy 的角色让我感到很奇怪......

我也不想创建自定义角色,因为它似乎有点过分,因为有这个角色适合需要。

是的,有一个角色 roles/storage.objectAdmin,但它缺少 storage.buckets.get 权限。

你怎么看?

【问题讨论】:

    标签: google-cloud-platform google-cloud-storage google-cloud-iam


    【解决方案1】:

    请记住,旧角色与 GCP 上的原始角色相关,它是“旧版”,因为它与通过对象上的旧角色授予的 pre-IAM 权限完全匹配。这完全取决于您的用例,最佳推荐做法是遵循最小权限原则。

    请记住官方documentation中提到的:

    “旧版存储桶 IAM 角色与存储桶 ACL 协同工作:当您添加或删除旧版存储桶角色时,与存储桶关联的 ACL 会反映您的更改。”

    此外,请考虑table 中描述的读/写旧角色的范围。

    最后看一下安全、ACL 和访问控制的section,以遵循为云存储服务推荐的最佳实践。

    【讨论】:

    • 好的,我错过了旧存储桶 IAM 与存储桶 ACL 协同工作的部分。但另一方面,我希望有与角色/storage.legacyBucketWriter 具有相同权限的非旧角色,并且不必创建自定义角色,因为我觉得这是一个常见的用例。
    • 您可以为 cloud.google.com/support/docs/issue-trackers 填写功能请求
    猜你喜欢
    • 2011-09-20
    • 2011-10-06
    • 2020-01-29
    • 2022-07-21
    • 2010-12-09
    • 2010-12-16
    • 1970-01-01
    • 2018-01-20
    • 2012-01-11
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode