GCP |Как я могу предоставить доступ на уровне папок для разных пользователей>

Question

У меня есть один google bucket gs: // kd-non-prod-test / bucket и 3 пользователя учетной записи службы

bucket-poc-user-1@xxxx.iam.gserviceaccount.com

bucket-poc-user-2@xxxx.iam.gserviceaccount.com

bucket-poc-user-3@xxxx.iam.gserviceaccount.com

В корзине я создал 3 каталога

 - gs://kd-non-prod-test/for-user1 
 - gs://kd-non-prod-test/for-user2
 - gs://kd-non-prod-test/for-user3

Я хочу предоставить READ, WRITE & LIST доступ к каталогам дляих соответствующие пользователи.

Пример -

Только bucket-poc-user-1@xxxx.iam.gserviceaccount.com пользователь будет иметь READ, WRITE & LIST только в каталоге gs: // kd-non-prod-test / for-user1 .

Объекты, сохраняемые / обновляемые в соответствующем каталоге, должны иметь одинаковый доступкак каталог

Пример

если пользователь с правами администратора создает текстовый файл в каталоге gs://kd-non-prod-test/for-user1/sample.txt, то bucket-poc-user-1@xxxx.iam.gserviceaccount.com также должен иметьтот же доступ к gs://kd-non-prod-test/for-user1/sample.txt, что и для каталога gs://kd-non-prod-test/for-user1/

Помогите мне с решением.Спасибо.

Answer 1

Как сказал Андрей, вы не можете дать разрешение на папки внутри корзины.

Если вы действительно хотите разделить разрешения между «папками» пользователей, вы должны напрямую создать корзину как «папки», где вы даете разрешениедля конкретных пользователей.

Должно дать вам что-то вроде этого:

- gs://for-user1-test
- gs://for-user2-test
- gs://for-user3-test

Если вы хотите, чтобы у администратора был доступ ко всем gcs, вы должны дать ему роли администратора хранилища, чтобыон может получить доступ и прочитать любое из сегментов.

Но я не знаю, действительно ли это пригодное для использования решение, поскольку у вас будет столько же сегментов, сколько у вас есть пользователь, а если у вас их сотни,может стать трудным.

Answer 2

Вы можете дать разрешения на весь проект или всю корзину.Взгляните на Облачные роли IAM для облачного хранилища .Указывает, что ... These roles can be applied either to entire projects or specific buckets.