AWS提供了一种通过其IAM policies来限制从特定用户/角色到特定命名资源的访问的方法。
例如以下权限:
{
"Sid": "ThirdStatement","Effect": "Allow","action": [
"s3:List*","s3:Get*"
],"Resource": [
"arn:aws:s3:::confidential-data","arn:aws:s3:::confidential-data/*"
]
}
将允许对List*
存储桶及其内容进行所有Get*
和confidential-data
操作。
但是,通过GCP的custom roles时,我找不到这样的选项。
现在,我知道对于GCS存储桶(这是我的用例),您可以创建ACLs来实现(或多或少?)相同的结果。
我的问题是,假设我创建了一个由someone@myaccount-googlecloud.com
标识的服务帐户,并且希望该帐户具有对gs://mybucket-on-google-cloud-storage
的读/写权限,应该如何我要格式化ACL来做到这一点吗?
(暂时,从组织/文件夹/项目继承的其他任何权限对我来说都没有关系)