Эквивалент GCP «отрицать» разрешения в политике aws

Question

Есть ли способ запретить разрешения в пользовательской роли GCP? Например, это политика в AWS, которая запрещает набор действий на S3: {"Sid": "DenyS3", "Effect": "Deny", "Action": "s3: Get *", "Resource":"*"} Есть ли способ определить похожую настраиваемую роль в GCP?

Answer 1

В Google Cloud роли создаются на основе формата <service>.<resource>.<verb>, в котором указывается точная роль, выполняемая на ресурсе.

Таким образом, если необходимо создать пользовательскую роль, вы можете либо добавить указанные выше конкретные роли, либо полностью исключить их из ролей.

https://cloud.google.com/iam/docs/understanding-custom-roles

Answer 2

Есть ли способ запретить разрешения в настраиваемой роли GCP?

Нет, роли IAM по умолчанию запрещены и являются только аддитивными.

Какполучить разрешения только для определенного имени изображения?

Классическим вариантом использования ролей IAM является назначение их в Google Project. Вот почему роль предоставляет вам разрешение на все ресурсы этого типа для этой роли.

Google начал выпускать управление доступом на основе идентификаторов для ресурсов. Это означает, что вы можете прикрепить личность с ролями к отдельным ресурсам, а не к проекту. Для ресурсов, которые поддерживают это, есть правая панель, которая позволяет вам устанавливать разрешения.