使用 Python API 以最低权限从 Google Cloud Storage 读取数据

【问题标题】:Using the Python API to read from Google Cloud Storage with minimal permissions使用 Python API 以最低权限从 Google Cloud Storage 读取数据
【发布时间】:2021-12-24 22:31:11
【问题描述】:

我想使用 Python 从存储中下载 blob。示例显示此代码:

from google.cloud import storage
client = storage.Client()
bucket = client.get_bucket(BUCKETNAME)
blob = bucket.get_blob(BLOBNAME)
raw_bytes = blob.download_as_bytes()

虽然这可行,但它不仅需要授予“存储对象查看器”角色 (roles/storage.objectViewer) 的 storage.objects.get 权限,还需要 storage.buckets.get 执行 get_bucket 行的权限。此权限由听起来过于强大或过时的其他角色授予,例如“Storage Admin”或“Storage Legacy Bucket Reader”。

有没有办法改变 Python 代码,只需要storage.objects.get 权限?似乎可能落后于 Python API 的 JSON API 允许这样做:https://cloud.google.com/storage/docs/json_api/v1/objects/get

最好的,鲍里斯

【问题讨论】:

  • 1) 您可以创建自定义 IAM 角色。 2) Storage Legacy Bucket Reader 名称中的旧版并不意味着不再推荐或支持的旧版。它指的是在 IAM 开发之前就存在的权限。在 IAM 之前,OAuth Scopes 是授权机制。
  • 但问题仍然存在:如何在没有 storage.buckets.get 权限的情况下使用 Python 读取 blob?如果我可以使用 JSON API 做到这一点,如果 Python API 的实现阻止了它,那将是可悲的。

标签: google-cloud-storage google-iam google-cloud-iam google-cloud-python


【解决方案1】:

在示例代码中,桶语句bucket = client.get_bucket(BUCKETNAME)用于列出桶操作

如果您要将获得的值作为响应输出,而不是执行 client.get_bucket,则可以将其作为 静态值 传递。 通过使用静态值,您将不会使用需要 storage.buckets.get 权限的 client.get_bucket 操作。

您也可以参考类似的Stackoverflow case

【讨论】:

  • 非常感谢!
猜你喜欢
  • 2020-03-26
  • 2015-04-09
  • 1970-01-01
  • 1970-01-01
  • 2020-03-07
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode