Google Cloud Platform:如何删除存储桶的下载访问权限

Question

我希望我的服务帐户能够在我的存储桶中创建文件和文件夹，但不允许对该存储桶中的对象进行任何读取/列出/下载。我无法确定要为我的bucket/service-account设置哪些权限。对此有什么想法吗？

Answer 1

你可以看看通用的Identity and Access Management (IAM) page for Google Cloud Storage。在此基础上，您可以使用预定义的云存储角色之一，也可以创建具有所需特定IAM权限的自定义角色。让我们遵循这两种方法：

• Standard云存储IAM角色： in this page您可以找到可用的IAM角色的完整列表。考虑到您提供的用例，您应该考虑使用roles/storage.objectCreator角色，因为它只授予storage.objects.create权限，而您不能查看或列出objects.
• Custom IAM角色:您可以遵循this guide to create a custom IAM Role和定义您想要授予您的存储桶的特定权限。In this other page您可以看到所有可用权限的列表。您应该使用storage.objects.create，但为了使服务帐户能够覆盖内容(由于它没有delete permissions).

，因此无法使用storage.objects.create角色完成此操作)，您可能还希望添加其他权限，例如storage.objects.delete

因此，一般来说，在应用您的特定用例时，您可以说您可以使用roles/storage.objectCreator标准角色。但是，您必须考虑到，使用它时，您将无法覆盖内容，因为出于此目的，您还需要storage.objects.delete权限。在这种情况下，您可以创建自定义角色。