在桶中使用 roles/storage.legacyBucketWriter 到 read/write 不好吗?

Is it bad to use roles/storage.legacyBucketWriter to read/write in a bucket?

我发现自己经常使用 roles/storage.legacyBucketWriter,它具有以下权限:

可能没关系,但使用名称中带有 legacy 的角色对我来说感觉很奇怪...

我也不想创建自定义角色,因为有适合需要的角色,这看起来太过分了。

是的,有一个角色 roles/storage.objectAdmin 但它缺少 storage.buckets.get 权限。

你怎么看?

请记住遗留角色与 GCP 上的原始角色相关,它是 'Legacy' 因为它与对象上通过遗留角色授予的 pre-IAM 权限完全匹配。这完全取决于您的用例,最佳推荐做法是遵循最小权限原则。

记住官方说的documentation:

“旧版存储桶 IAM 角色与存储桶 ACL 协同工作:当您添加或删除旧版存储桶角色时,与该存储桶关联的 ACL 会反映您的更改。”

此外,请考虑 read/write 遗留角色的范围,如 table 中所述。

最后看看 section 安全、ACL 和访问控制,以遵循为云存储服务推荐的最佳实践。