数据存储的Identity and Access Management文档描述了如何授予用户对所有实体的访问权限。是否可以让用户访问某些实体或属性,但不能访问其他实体或属性?
例如,给定实体“ Customer”,其属性为“ name”,“ phone_number”和“ favorite_fruit”,我想为某些用户提供“ favorite_fruit”的访问权限,但不提供“ name”或“ phone_number”的访问权限。
是否可以以此特定级别创建权限?如果没有,您将如何解决此限制?
答案 0 :(得分:0)
不,数据存储区本身没有适当的限制机制,这是应用程序的责任。甚至名称空间的执行都在应用程序本身中完成-通过确保在进行数据存储区调用时指定了正确的名称空间。
最终用户通常没有直接访问数据存储的权限。各自的GCP项目GAE应用程序和其他已明确授予权限的应用程序具有数据存储区范围的访问,并充当最终用户和数据存储区之间的中介。它们是实施较小范围访问控制的方法。
您引用的IAM文档完全反映了这一点:数据存储范围的范围,而不是实体/属性的范围。