AWS предоставляет способ через свои политики IAM ограничить доступ от конкретного пользователя / роли к специфицированному c названному ресурсу .
Например, следующее разрешение:
{
"Sid": "ThirdStatement",
"Effect": "Allow",
"Action": [
"s3:List*",
"s3:Get*"
],
"Resource": [
"arn:aws:s3:::confidential-data",
"arn:aws:s3:::confidential-data/*"
]
}
разрешит все операции List*
и Get*
для корзины confidential-data
и ее содержимого.
Однако я не могу найти такую опцию при прохождении пользовательских ролей GCP .
Теперь я знаю, что для сегментов GCS (что является моим вариантом использования) вы можете создать либо ACL для достижения (более или менее?) того же результата.
У меня такой вопрос, если я создаю учетную запись службы, обозначенную someone@myaccount-googlecloud.com
, и хочу, чтобы эта учетная запись имела чтение / запись разрешения на gs://mybucket-on-google-cloud-storage
, как мне отформатировать ACL для этого?
(пока мне не важно, какие другие разрешения унаследованы от организации / папки / проект)