Я создал пользователя службы:
gcloud iam service-accounts create test01 --display-name "test01"
И я дал ему полный доступ к Cloud Storage:
gcloud projects add-iam-policy-binding project-name \
--member serviceAccount:[email protected] \
--role roles/storage.admin
Этот код работает:
from google.cloud import storage
client = storage.Client()
buckets = list(client.list_buckets())
print(buckets)
bucket = client.get_bucket('bucket-name')
print list(bucket.list_blobs())
Но в моем проекте есть несколько сегментов для разных сред, и по соображениям безопасности я хочу добавить доступ к только одному сегменту для каждого пользователя.
В документации я нашел этот текст:
При применении к отдельному сегменту управление применяется только к указанному сегменту и объектам в нем.
Как применить roles/storage.admin к отдельному ведру?
Обновление:
Я попробовал ACL, и возникла проблема: я добавляю доступ пользователю:
gsutil iam ch \
serviceAccount:[email protected]:legacyBucketOwner \
gs://bucket-name
Пользователь может перечислять все файлы, добавлять файлы, создавать файлы, просматривать свои собственные файлы.
Но пользователь не может просматривать файлы других пользователей.
Обновление 2:
Я обновил ACL по умолчанию:
gsutil defacl ch -u \
[email protected]:OWNER gs://bucket-name
Я ждал много времени, создал другой файл другим пользователем, а он по-прежнему недоступен для test01.
Решение.
Я сделал это с нуля, и оно работает:
gsutil mb -p example-logs -c regional -l EUROPE-WEST2 gs://example-dev
gcloud iam service-accounts create test-dev --display-name "test-dev"
gcloud iam service-accounts create test-second --display-name "test-second"
# download 2 json keys from https://console.cloud.google.com/iam-admin/serviceaccounts
gsutil iam ch serviceAccount:[email protected]:legacyBucketOwner gs://example-dev
gsutil iam ch serviceAccount:[email protected]:legacyBucketOwner gs://example-dev
gsutil defacl ch -u [email protected]:OWNER gs://example-dev
