假设我在GCS中有一个预先存在的ACL集合(目前假设细粒度的ACL - 暂时搁置基于IAM的权限)。所以,例如,我有一个桶" my_bucket"我在" my_bucket"," red_stuff"中有一个实体。 " red_stuff"如果您是该组织的一部分,则允许访问该内容,并且#34; ISeeRedStuff"。类似地,我可能有许多其他文件,这些文件是使用ACL创建的,该ACL根据组中的成员身份授予访问权限#34; ISeeRedStuff"但我也可能根据组中的成员身份拥有内容和ACL&# 34; ISeeBlueStuff"
现在,通过某种机制,我发现" red_stuff"包括一些敏感信息,如信用卡号码或SSN等。我想做的是修改" red_stuff"允许用户访问,如果他们具有会员资格" ISeeRedStuff"以及" ISeeSensitiveStuff"。请注意,并非#34; ISeeSensitiveStuff"可以访问" ISeeRedStuff",所以我不能简单地替换组权限。我想要的是逻辑和操作。
我知道我可以建立一个团队" ISeeSenstiveRedStuff"从现有的ACL中,但将此内容与其他组同步是一件令人头疼的事。此外,如果我想根据不同类型的敏感信息跟踪不同的会员观看权限,那么如果我使用创建更多群组的机制来保持不同的组合,那么群组的数量会变大。
我遗漏了文档中的内容吗?我没有看到任何定义这种能力的方法。
编辑: 我考虑过使用签名URL来生成权限以解决此问题的想法。基本上,将权限计算移动到Application Server,并让服务器生成签名URL以允许访问内容。但是,出于多种原因,这可能会成为一个混乱的解决方案。
答案 0 :(得分:1)
没有概念"逻辑-AND"在Google云端存储访问控制中。如果用户是具有访问权限的任何组的成员,则允许该用户访问。