我希望我的服务帐户能够在我的存储桶中创建文件和文件夹,但不允许对该存储桶中的对象进行任何读取/列表/下载。我无法确定为我的存储桶/服务帐户设置的权限。有什么想法吗?
答案 0 :(得分:0)
您可以查看一般Identity and Access Management (IAM) page for Google Cloud Storage。从中,您可以使用其中一个预定义的云存储角色,也可以使用所需的特定IAM权限创建自定义角色。让我们遵循两种方法:
roles/storage.objectCreator角色,因为它只授予storage.objects.create权限,您无法查看或列出对象。storage.objects.create,但您可能有兴趣添加其他权限,例如storage.objects.delete,以便服务帐户能够覆盖内容(使用{{1}无法完成} role,因为它没有 delete 权限。)因此,一般而言,并应用您的特定用例,您可以说您可以使用roles/storage.objectCreator标准角色。但是,您必须考虑到使用它,您将无法覆盖内容,因此,您还需要roles/storage.objectCreator权限。在这种情况下,您可以创建自定义角色。