google-cloud-platform - 使用 roles/storage.legacyBucketWriter 在存储桶中读/写是不是很糟糕?
问题描述
我发现自己使用了很多具有以下权限的角色/storage.legacyBucketWriter :
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
- storage.objects.list
可能没关系,但我觉得用一个名字里有遗产的角色很奇怪......
我也不想创建自定义角色,因为它似乎有点矫枉过正,因为有这个角色适合需要。
是的,有一个角色roles/storage.objectAdmin但它缺少storage.buckets.get权限。
你怎么看 ?
解决方案
请记住,遗留角色与 GCP 上的原始角色相关,它是“遗留”,因为它与通过对象上的遗留角色授予的 pre-IAM 权限完全匹配。这完全取决于您的用例,最佳推荐做法是遵循最小权限原则。
请记住官方文档中提到的:
“旧版存储桶 IAM 角色与存储桶 ACL 协同工作:当您添加或删除旧版存储桶角色时,与存储桶关联的 ACL 会反映您的更改。”
此外,请考虑此表中描述的读/写旧角色的范围。
最后看一下安全、ACL 和访问控制部分,以遵循为云存储服务推荐的最佳实践。
推荐阅读
- c# - 将远程桌面上的 WPF 动画平滑到 VM
- java - 模型映射器在测试类上调用方法时获取空指针异常
- php - 在 Laravel 中生成随机文件
- c# - 如何通过 Kubernetes c# API 方法“WebSocketNamespacedPodExecAsync”执行带参数的命令?
- javascript - 比较日期数组以在 java-script 中以简单的方式检查日期重叠
- python - 在 Tkinter 条目中隐藏文本光标
- laravel - laravel-websockets 连接到没有 laravel-echo 的通道
- android - Listview 项目文本未显示完整
- c# - 如何在c#中将递归对象与其他递归对象映射
- java - Android 10:windowTranslucentStatus 使状态栏透明