google-cloud-platform - 使用 roles/storage.legacyBucketWriter 在存储桶中读/写是不是很糟糕？

我发现自己使用了很多具有以下权限的角色/storage.legacyBucketWriter ：

可能没关系，但我觉得用一个名字里有遗产的角色很奇怪......

我也不想创建自定义角色，因为它似乎有点矫枉过正，因为有这个角色适合需要。

是的，有一个角色roles/storage.objectAdmin但它缺少storage.buckets.get权限。

你怎么看？

标签： google-cloud-platformgoogle-cloud-storagegoogle-cloud-iam

请记住，遗留角色与 GCP 上的原始角色相关，它是“遗留”，因为它与通过对象上的遗留角色授予的 pre-IAM 权限完全匹配。这完全取决于您的用例，最佳推荐做法是遵循最小权限原则。

请记住官方文档中提到的：

“旧版存储桶 IAM 角色与存储桶 ACL 协同工作：当您添加或删除旧版存储桶角色时，与存储桶关联的 ACL 会反映您的更改。”

此外，请考虑此表中描述的读/写旧角色的范围。