在桶中使用 roles/storage.legacyBucketWriter 到 read/write 不好吗?
Is it bad to use roles/storage.legacyBucketWriter to read/write in a bucket?
我发现自己经常使用 roles/storage.legacyBucketWriter,它具有以下权限:
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
- storage.objects.list
可能没关系,但使用名称中带有 legacy 的角色对我来说感觉很奇怪...
我也不想创建自定义角色,因为有适合需要的角色,这看起来太过分了。
是的,有一个角色 roles/storage.objectAdmin 但它缺少 storage.buckets.get 权限。
你怎么看?
请记住遗留角色与 GCP 上的原始角色相关,它是 'Legacy' 因为它与对象上通过遗留角色授予的 pre-IAM 权限完全匹配。这完全取决于您的用例,最佳推荐做法是遵循最小权限原则。
记住官方说的documentation:
“旧版存储桶 IAM 角色与存储桶 ACL 协同工作:当您添加或删除旧版存储桶角色时,与该存储桶关联的 ACL 会反映您的更改。”
此外,请考虑 read/write 遗留角色的范围,如 table 中所述。
最后看看 section 安全、ACL 和访问控制,以遵循为云存储服务推荐的最佳实践。
我发现自己经常使用 roles/storage.legacyBucketWriter,它具有以下权限:
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
- storage.objects.list
可能没关系,但使用名称中带有 legacy 的角色对我来说感觉很奇怪...
我也不想创建自定义角色,因为有适合需要的角色,这看起来太过分了。
是的,有一个角色 roles/storage.objectAdmin 但它缺少 storage.buckets.get 权限。
你怎么看?
请记住遗留角色与 GCP 上的原始角色相关,它是 'Legacy' 因为它与对象上通过遗留角色授予的 pre-IAM 权限完全匹配。这完全取决于您的用例,最佳推荐做法是遵循最小权限原则。
记住官方说的documentation:
“旧版存储桶 IAM 角色与存储桶 ACL 协同工作:当您添加或删除旧版存储桶角色时,与该存储桶关联的 ACL 会反映您的更改。”
此外,请考虑 read/write 遗留角色的范围,如 table 中所述。
最后看看 section 安全、ACL 和访问控制,以遵循为云存储服务推荐的最佳实践。