Google Cloud Storage - Как ограничить доступ к определенной корзине

Question

Я бы хотел предоставить приложению доступ к одному моим корзинам Google Storage, предоставив ему подходящий токен OAuth2.

Если я правильно понимаю https://cloud.google.com/storage/docs/authentication, то нет никакого способа ограничить токен определенным сегментом.

Какой самый простой / рекомендуемый способ создания токена с ограниченным доступом? Полагаю, я мог бы создать совершенно новую учетную запись Google именно для этой цели, настроить ACL-списки корзины, чтобы предоставить доступ и новому пользователю, а затем создать токен OAuth, используя этого пользователя. Но это кажется ... неловким и не очень масштабируемым.

(В случае, если это имеет значение: приложение использует поток устройств OAuth2 , т. Е. Оно дает мне URL-адрес Google, который я должен посетить и использовать для входа в систему)

Answer 1

Используйте списки ACL Bucket и присвойте ведро адрес электронной почты пользователя. Адрес электронной почты пользователя должен быть частью учетных записей Google или G Suite, с которыми пользователь входит в систему (в учетные записи Google).

Следующий пример gsutil предоставит john.doe@example.com разрешение write для Bucket example-bucket:

gsutil acl ch -u john.doe@example.com:WRITE gs://example-bucket

Документация:

GSUTIL - ACL

Answer 2

Вы можете создать учетную запись службы, доступ к которой ограничен требуемым сегментом.https://cloud.google.com/iam/docs/understanding-service-accounts