Google Cloud эквивалент Amazon STS

Question

Google Cloud эквивалент Amazon STS

Amazon STS предлагает возможность получения токена IAM и создания ограниченного набора возможностей этого токена для другого использования. Подмножество способностей может быть по времени (истекает через N часов) и по разрешенным операциям (например, прочитать одну корзину S3, но не все корзины S3, которые может прочитать исходный токен).

Поскольку это делается с использованием формата S3 ARN, который поддерживает подстановочные знаки в имени ключа S3, это означает, что можно создать суб-токен, который может читать часть сегмента S3.

Просматривая документы по управлению доступом в Google Cloud Storage, я не смог найти эквивалент этой функции в GCS.

Чтобы быть более конкретным, я хотел бы создать корзину с этими четырьмя объектами:

/folder1/file1
/folder1/file2
/folder2/file3
/folder2/file4

И получив токен с разрешениями на доступ ко всем файлам на неопределенный срок, создал ограниченное подмножество токенов с разрешениями на просмотр только объектов в /folder2/* (так /folder2/file3 а также /folder2/file4) в течение N часов.

Возможно ли это в GCS, как в S3/STS?

2

amazon-s3 google-cloud-storage aws-sts

Источник

user120915 30 авг '18 в 04:31

1 ответ

Другие вопросы по тегам amazon-s3 google-cloud-storage aws-sts

user8064601 30 авг '18 в 11:13 2018-08-30 11:13 · Answer 1 · 2018-08-30 11:13

В настоящее время в GCP нет токенов с ограниченным набором способностей другого токена.

Наиболее похожая вещь, о которой вы просите, - это подписанные URL-адреса, поскольку они предоставляют ограниченный по времени доступ к объектам облачного хранилища.

Я не знаю, зачем вам нужны способности, которые являются подмножеством способностей другого токена, но в вашем случае вы можете просто создать подписанные URL-адреса с разрешениями для просмотра объектов в /folder2/*