我有一个在 GCP 上创建的存储分区。我按照此处描述的说明创建了存储桶 (https://cloud.google.com/storage/docs/creating-buckets)。此外,我使用统一的存储桶级访问控制创建它。
但是,我希望存储桶中的对象可以被在某个服务帐户下运行的实例访问。虽然,我不知道该怎么做。在权限设置中,我看不到如何为读写访问指定服务帐户。
【问题讨论】:
标签: google-cloud-platform google-cloud-storage
要创建服务帐号,请在 Cloud Shell 中运行以下命令:
gcloud iam service-accounts create storage-sa --display-name "storage service account"
您可以向服务帐号授予角色,以便该服务帐号可以对您的 GCP 项目中的资源执行特定操作。例如,您可以将 storage.admin 角色授予服务帐号,以便它可以控制 Google Cloud Storage 中的对象和存储分区。
gcloud projects add-iam-policy-binding <Your Project ID> --member <Service Account ID> --role <Role You want to Grant>
授予角色后,您可以在创建实例时选择此服务帐户。
或者,要通过 Google Cloud Console 执行此操作,请参阅 Creating and enabling service accounts for instances
【讨论】:
创建服务帐户后,您可以使用 gsutil 命令更改/设置存储桶或对象的访问控制列表 (ACL) 权限。
具体来说:
gsutil acl set [-f] [-r] [-a] file-or-canned_acl_name url...
gsutil acl get url
gsutil acl ch [-f] [-r] <grant>... url...
where each <grant> is one of the following forms:
-u <id|email>:<perm>
-g <id|email|domain|All|AllAuth>:<perm>
-p <viewers|editors|owners>-<project number>:<perm>
-d <id|email|domain|All|AllAuth|<viewers|editors|owners>-<project number>>:<perm>
请查看以下文章以获得更多深度和描述:
您还可以通过 Cloud Console 网页界面和 GCS API 设置/更改 acls。
【讨论】:
您必须创建一个服务帐户Creating a new service account。
设置一个新实例以作为服务帐户运行 Set instance。
在 Google Cloud Console 中,转到 Storage/bucket/right_corner dots/Edit bucket permissions
添加会员/服务帐号/
角色/存储管理员
【讨论】: