Według popup konsoli Rola przeglądarki projektu Przegląda dostęp do zasobów projektu, gdy przeglądarka projektu odczytuje dostęp do tych zasobów.

Czy to oznacza, że z rolą przeglądarki mogę liczyć tylko nazwy plików przechowywanych w wiadrach projektu, ale potrzebuję roli widzów do pobrania tych plików?

10
intotecho 20 luty 2019, 06:56

2 odpowiedzi

Najlepsza odpowiedź

Czy to oznacza, że z rolą przeglądarki mogę liczyć tylko nazwy plików przechowywanych w wiadrach projektu, ale potrzebuję roli widzów do pobrania tych plików?

Rola przeglądarki roles/browser nie ma żadnych uprawnień do dostępu do przechowywania chmury Google. Nie można wymienić obiektów w wiadrze. Rola przeglądarki roles/viewer nie ma uprawnień do przeglądania (Pobierz) obiekty Google Cloud Storage Obiektów.

Aby lepiej zrozumieć role, musisz wiedzieć, jakie uprawnienia zawiera rolę.

Jeśli weźmiesz rolę roles/browser i zobacz uprawnienia:

gcloud iam roles describe roles/browser

Znajdziesz, że ta rola ma następujące sześć uprawnień:

description: Access to browse GCP resources.
etag: AA==
includedPermissions:
- resourcemanager.folders.get
- resourcemanager.folders.list
- resourcemanager.organizations.get
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
- resourcemanager.projects.list
name: roles/browser
stage: GA
title: Browser

Zauważ, że ta rola nie ma uprawnień do pamięci Google Cloud.

W porównaniu, jeśli przejrzysz uprawnienia do roles/viewer, przekonasz się, że ta rola ma uprawnienia 721. Ograniczyłem tę listę na dopuszczenia do przechowywania:

storage.buckets.list

Zobaczysz, że ta rola ma uprawnienia do wykazu zawartości wiadra. Nie przyznano uprawnień do przeglądania zawartości obiektu w wiadrze.

Aby wyświetlić (pobierz) obiekt pamięci masowej Google Cloud, potrzebujesz zgody storage.objects.get. Jest to zawarte w ról roles/storage.object.viewer, roles/storage.objectAdmin, roles/storage.admin i roles/storage.legacyObjectReader.

3
John Hanley 22 luty 2019, 01:15

Według Docs

Rola przeglądarki projektu "Czytaj dostęp do przeglądania hierarchii do projektu, w tym polityki folderu, organizacji i chmury IAM. Ta rola nie obejmuje pozwolenia na przeglądanie zasobów w projekcie".

1
intotecho 20 luty 2019, 03:56