amazon-s3 - 相当于 Amazon STS 的 Google Cloud
问题描述
Amazon STS提供获取 IAM 令牌并创建该令牌功能的有限子集以供其他用途的能力。能力子集可以按时间(N 小时后到期)和允许的操作(例如读取一个 S3 存储桶但不是原始令牌可以读取的所有 S3 存储桶)。
因为这是使用支持 S3 密钥名称中的通配符的S3 ARN 格式完成的,这意味着可以创建一个可以读取 S3 存储桶的一部分的子令牌。
查看 Google Cloud Storage 的访问控制文档,我在 GCS 中找不到与此功能等效的功能。
更具体地说,我想用这四个对象创建一个桶:
/folder1/file1
/folder1/file2
/folder2/file3
/folder2/file4
并给定一个有权无限期访问所有文件的令牌,生成一个有限的令牌子集,该子集有权在N 小时内仅查看/folder2/*
(so/folder2/file3
和) 中的对象。/folder2/file4
这在 GCS 中是否可能像在 S3/STS 中一样?
解决方案
目前,在 GCP 中没有代币具有另一个代币能力的有限子集。
与您所问的最相似的是Signed URLs,因为它们允许对 Cloud Storage 对象进行限时访问。
我不知道为什么您需要它们具有作为另一个令牌的子集的功能,但在您的情况下,您可以创建具有查看 /folder2/* 中对象的权限的签名 URL
推荐阅读
- regex - Qt - 如何获取两个字符之间的字符串?
- java - 如何使用 AR 核心检测多个图像
- tensorflow - Tensorflow 对象检测 API 的 Faster RCNN 配置中的 depth_multiplier 和 skip_last_stride
- flutter - Flutter 中两次 PUSH 事件是正常的吗?
- tensorflow - 无法序列化 tensorflow.GraphDef 类型的协议缓冲区,因为序列化大小 3459900923 字节将大于限制(2147483647 字节)
- python - 确定 dtypes 对象应该是 Int 还是 float
- android - 迁移到 Androidx 后无法解析符号 R
- android - 智能手表加速度计精度问题
- javascript - 在 javascript 或 typescript 中生成唯一的随机数
- tensorflow - 将 keras 模型转换为 tfjs 时出错:重复的权重名称变量