当组织策略为 "public access prevention" 时,如何将 google 存储桶设为 public 网站或负载均衡器后端
How to make a google storage bucket a public website or a load balancer back end when there is an org policy of "public access prevention"
我工作的组织设置了 constraints/storage.publicAccessPrevention 的组织级策略约束,我的项目继承了该约束。
我想通过负载均衡器将存储桶作为网站来提供服务,我认为这是云提供商的基本功能,也是我需要的。
我该怎么做才能使我的组织的错误政策成为现实?有没有办法让负载均衡器有服务代理?下拉列表或存储桶访问给我的印象是它只需要“原则”。我真的不想设置一个带有 nginx 或类似服务器的虚拟机来为这个存储桶中的文件提供服务。
当您对资源应用 publicAccessPrevention 约束时,public对该资源下的所有存储桶和对象(包括新的和现有的)的访问受到限制。
您的组织考虑或应该考虑的关键项目是,仅当您从不想要public访问时才应启用此约束。
由于没有绕过约束的方法,您唯一的选择是通过另一种可以授权访问存储的方法提供public访问权限。
What do I do to make that happen with my organization's misguided
policies?
与您的组织管理员交谈并解释您想要做什么。否则,您必须接受他们的政策。
Is there some way to have the load balancer have service agent?
不,Google 负载均衡器不使用服务帐户。
I don't really want to setup a VM with an nginx or something similar
to server the files from this bucket.
除非您将文件从存储桶中复制到本地文件系统或使用 FUSE,否则 Nginx 不会帮助您。您将需要编写一个后端应用程序来处理存储桶的内容,并且可以为客户端执行访问(从存储桶读取数据,向客户端发送数据)或创建 Signed URLs or Signed Cookies 以便客户端可以访问云直接存储对象。
没有解决此限制的简单解决方案。这就是防止数据泄露的目的。
我工作的组织设置了 constraints/storage.publicAccessPrevention 的组织级策略约束,我的项目继承了该约束。
我想通过负载均衡器将存储桶作为网站来提供服务,我认为这是云提供商的基本功能,也是我需要的。
我该怎么做才能使我的组织的错误政策成为现实?有没有办法让负载均衡器有服务代理?下拉列表或存储桶访问给我的印象是它只需要“原则”。我真的不想设置一个带有 nginx 或类似服务器的虚拟机来为这个存储桶中的文件提供服务。
当您对资源应用 publicAccessPrevention 约束时,public对该资源下的所有存储桶和对象(包括新的和现有的)的访问受到限制。
您的组织考虑或应该考虑的关键项目是,仅当您从不想要public访问时才应启用此约束。
由于没有绕过约束的方法,您唯一的选择是通过另一种可以授权访问存储的方法提供public访问权限。
What do I do to make that happen with my organization's misguided policies?
与您的组织管理员交谈并解释您想要做什么。否则,您必须接受他们的政策。
Is there some way to have the load balancer have service agent?
不,Google 负载均衡器不使用服务帐户。
I don't really want to setup a VM with an nginx or something similar to server the files from this bucket.
除非您将文件从存储桶中复制到本地文件系统或使用 FUSE,否则 Nginx 不会帮助您。您将需要编写一个后端应用程序来处理存储桶的内容,并且可以为客户端执行访问(从存储桶读取数据,向客户端发送数据)或创建 Signed URLs or Signed Cookies 以便客户端可以访问云直接存储对象。
没有解决此限制的简单解决方案。这就是防止数据泄露的目的。