我创建了一个具有存储管理员 (roles/storage.admin) 角色的 Google Cloud Platform 服务帐户 $GCP_SERVICE_ACCOUNT。
现在我希望限制此帐户,使其只能访问特定的 Google Cloud Storage (GCS) 存储桶 ($GCS_BUCKET_NAME)。
现在的问题是$GCP_SERVICE_ACCOUNT 可以访问所有 GCS 存储桶。我无法从其他 GCS 存储桶中删除 $GCP_SERVICE_ACCOUNT,因为 roles/storage.admin 已被继承。
我该怎么办?
【问题讨论】:
标签: google-cloud-platform google-cloud-storage gsutil google-cloud-iam
您可以使用Cloud IAM 将服务帐号的访问权限限制为特定存储桶。
这是您可以使用的 gsutil 命令:
gsutil iam ch serviceAccount:my-service-account@project.iam.gserviceaccount.com:objectAdmin gs://my-project/my-bucket
要从存储桶的所有角色中删除服务帐号:
gsutil iam ch -d serviceAccount:my-service-account@project.iam.gserviceaccount.com gs://my-project/my-bucket
或者您可以使用ACLs 控制对存储桶和对象的访问。
例如授予服务帐户 WRITE (R: READ,W: WRITE,O: OWNER) 对存储桶的访问权限:
gsutil acl ch -u my-service-account@project.iam.gserviceaccount.com:W gs://my-project/my-bucket
要从存储桶中删除服务帐户的访问权限:
gsutil acl ch -d my-service-account@project.iam.gserviceaccount.com gs://my-project/my-bucket
我建议从存储桶中删除服务帐户的访问权限。然后授予对特定存储桶的访问权限。
【讨论】:
我遇到了同样的问题。
删除所有不应访问项目所有存储分区的服务帐号。
在“IAM -> 服务帐户”中创建一个新的服务帐户“my_user”。在创建过程中不要给它任何权利(这将允许访问您在问题中描述的项目的所有存储桶)
在存储桶中授予新的服务帐号权限:
gsutil iam ch serviceAccount:my_user@my_project.iam.gserviceaccount.com:roles/storage.objectViewer gs://my_bucket
(我无法使用 GCP UI 执行此操作)
替换 my_user、my_project 和 my_bucket。 "storage.objectViewer" 赋予用户读取对象的权限。
警告:您需要一些时间才能在“bucket -> Permissions”中看到这个“正确”,您还会在“gsutil iam get gs://my-bucket”的输出中看到它!? 何时以及如果您发现它对我来说不能完全重现。
由于我的测试,服务帐户现在只能访问此存储桶,而不能访问项目中的其他存储桶。
【讨论】: