我的项目中有多个人在GCS中工作,我有两个存储我的数据库的存储桶。现在,我不希望所有人都可以访问我的备份。 限制对特定存储桶的访问的最佳方法是什么?
答案 0 :(得分:3)
best way非常模糊。 Google云存储提供了许多方法。选择哪种方法取决于您对Google Cloud,IAM,ACLs和加密的了解。
您需要管理三种不同类型的访问权限:读取,修改和删除。
在您的用例中,为了保护数据库备份,我将创建一个单独的项目,在项目IAM成员级别将access the bucket的权限授予备份系统,并且仅授予您团队的必需成员,然后添加对象级别KMS encryption。这种方法非常安全。
对于与成员具有相同项目ID的存储桶,您有两种选择。 IAM和ACL。您需要对IAM和ACL有扎实的了解,才能在多个项目成员可以访问存储桶时使用这些方法安全地实现任何事情。
如果您授予IAM访问存储桶的权限,则可以访问该存储桶中的所有对象。
您还可以通过存储桶和/或对象ACL控制访问。
您还可以使用KMS加密数据库备份文件,然后仅向特定个人授予对KMS密钥的访问权限。如果无法访问KMS密钥,则它们将无法读取文件。
要添加到上面,还请查看Object Versioning和Bucket Lock,以防止您的数据库文件被删除或修改。请查看这些方法,因为它们会影响存储桶中的所有对象,并且由于从不删除对象,因此可能会增加成本。