Google Cloud: запретить доступ к одному файлу в заданном сегменте

Предположим, у меня есть:

  • сегмент Google Cloud Storage bucketxyz и две группы пользователей: group1 и group2;
  • дополнительная третья группа allusers, в которую входят все пользователи из group1 и group2.

А потом:

  • Политика IAM для bucketxyz, которая предоставляет доступ только для чтения для allusers и чтение / запись (но без права собственности, чтобы избежать удаления файлов) для group1.

Рассмотрим также два файла для bucketxyz: file_shared.txt и file_resticted.txt и эти два сценария:

  1. file_shared.txt может быть написано кем-то в group1, но также доступно пользователям в group2 - Выполнено, просто используя политику IAM, указанную выше.
  2. file_restricted.txt могут быть написаны и доступны ТОЛЬКО пользователям в group1.

Можно ли реализовать сценарий №2 с помощью специального правила ACL для file_restricted.txt в bucketxyz? Если да, то как?


google-cloud-platform google-cloud-storage google-cloud-iam
person SubZeno    schedule 05.03.2018    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Разрешения в IAM являются концентрическими, и нет понятия "отказать" - как описано в Документация по иерархии политик IAM, «Дочерние политики не могут ограничивать доступ, предоставленный родительским».

Чтобы достичь случая, когда group1 и group2 могли получить доступ к file_shared.txt, но только group2 могли получить доступ к file_restricted.txt, вам потребуется предоставить доступ к каждому объекту для group1 и group2. В качестве альтернативы вы можете предоставить group2 доступ для чтения / записи на уровне bucketxyz и предоставить доступ для чтения для каждого объекта group1.

person Travis Hobrla    schedule 05.03.2018