【发布时间】:2020-02-23 16:35:28
【问题描述】:
有没有办法拒绝 GCP 自定义角色中的权限? 例如,这是 AWS 中拒绝对 S3 执行一组操作的策略: { “Sid”:“拒绝 S3”, “效果”:“拒绝”, "动作": "s3:Get*", “资源”:“*” } 有没有办法在 GCP 中定义类似的自定义角色?
【问题讨论】:
标签: amazon-web-services google-cloud-platform cloud google-iam
【发布时间】:2020-02-23 16:35:28
【问题描述】:
在 google Cloud 中,角色是根据格式创建的
<service>.<resource>.<verb> 指定要在资源上执行的确切角色。
因此,如果必须创建自定义角色,那么您可以添加上述特定角色或完全从角色中省略它们。
https://cloud.google.com/iam/docs/understanding-custom-roles
【讨论】:
-
谢谢。如何指定对特定资源名称的权限,例如:有一个权限 - “compute.images.list”,它授予对所有图像的列表权限。如何仅获得特定图像名称的权限?
-
@MichaelBalber 用例是什么?如果您的用例是不应该下载图像,那么 compute.images.list 就足够了。
有没有办法拒绝 GCP 自定义角色中的权限?
不,IAM 角色在默认情况下被拒绝,并且只是附加的。
如何仅获得特定图像名称的权限?
IAM 角色的经典用例是将它们分配给 Google 项目。这就是角色授予您对该角色的该类型所有资源的权限的原因。
Google 已开始发布基于身份的资源访问控制。这意味着您可以将具有角色的身份附加到单个资源而不是项目。对于支持此功能的资源,右侧面板可让您设置权限。
【讨论】: