我正在尝试找出服务帐户将文件写入GCS存储桶所需的最小权限集。我以为可以使用storage.objectAdmin,但是使用为Python SDK提供的示例代码,它会失败并显示错误:my-service-account@my-project.googleapis.com does not have storage.buckets.get access to my-bucket

client = _get_storage_client()
bucket = client.bucket(current_app.config['CLOUD_STORAGE_BUCKET'])
blob = bucket.blob(filename)

blob.upload_from_string(
    file_stream,
    content_type=content_type)

这是因为client.bucket调用实际上是从存储桶读取元数据的,而storage.objectAdmin不会授予该元数据。当我使用storage.admin权限时,它会自行修复,但这也允许该帐户删除不需要的整个存储桶。添加storage.legacyBucketReader也可以,但是随后我使用的是旧角色,我不确定是否应该再做。

最佳做法是什么?

最佳答案

如果您想限制尽可能多,可以添加以下两个权限:

  • roles/storage.objectCreator
  • Viewer

  • 这允许被授权者执行以下操作:
  • 可以创建新对象。
  • 可以列出桶
  • 列出时,还可以查看存储桶元数据(不包括ACL)。

  • 此处有更多详细信息:https://cloud.google.com/storage/docs/access-control/iam-roles

    09-11 03:48
    查看更多