GCP云源库权限

Question

是否有人实现了在基于云源库的每个存储库上定义权限的方法？

我在同一个项目下有两个repos，其中一个只需要被限制在一个特定的组中，但是我无法找到一种方法(即使使用自定义角色)来限制对该组的访问。

您可以授予读访问权或写访问权，但不指定回购。

这似乎是一个基本的安全功能..。

谢谢!

Answer 1

通常，在Google平台中，您会发现权限不是应用于实例或单个对象(例如单个实例)，而是应用于特定类型资源的所有实例。控制所有这些的权限系统是IAM，它存在于每个项目(文件夹和组织)的基础上。

因此，例如，如果您想要创建一个实例，然后修改它并更改它的配置值，您需要有一个IAM角色，比如计算实例管理角色，它实际上将允许您修改项目中的任何现有实例，但是使用GCE实例资源，您可以获得一个更细的粒度级别，并给用户只处理一个实例(来源)的权限。

更详细地解释了这里中GCP和IAM的权限。

在您的特定情况下，根据文档，您只能在项目级别及以上授予权限，这意味着您不能将权限授予单个用户或组给特定的回购，而是授予该项目中的所有GSR存储库。

我想您可以做的一件事是为一个组创建一个单独的项目，在这个项目中，您可以创建GSR存储库，该存储库只能由这样一个组访问。