是否有一种方法可以拒绝GCP自定义角色中的权限? 例如,这是AWS中的一项策略,它拒绝了对S3的一组操作: { “ Sid”:“ DenyS3”, “效果”:“拒绝”, “ Action”:“ s3:Get *”, “资源”:“ *” } 有没有办法在GCP中定义类似的自定义角色?
答案 0 :(得分:1)
在Google Cloud中,角色是根据格式创建的
<service>.<resource>.<verb>,用于指定要在Resource上执行的确切角色。
因此,如果必须创建自定义角色,则可以添加上述特定角色,也可以从角色中完全省略它们。
https://cloud.google.com/iam/docs/understanding-custom-roles
答案 1 :(得分:0)
是否可以通过GCP自定义角色拒绝权限?
否,默认情况下,IAM角色是拒绝的,并且仅是加性的。
如何仅获得特定图像名称的权限?
IAM角色的经典用例是将其分配给Google Project。这就是为什么角色向您授予该角色该类型的所有资源的权限。
Google已开始发布基于身份的资源访问控制。这意味着您可以将具有角色的标识附加到单个资源而不是项目。对于支持此功能的资源,有一个右侧面板可让您设置权限。