繁体 English 中英

GCP 中“列出”IAM 权限的说明

[英]Clarification on "list" IAM permission in GCP

原文 2019-12-08 17:29:43 5 4 google-cloud-platform/ google-iam

只是为了扩展这个问题： Google Cloud Platform 中的 Project Browser 角色和 Project Viewer 角色有什么区别

@John Hanley 已经给出了很好的答案。 但要进一步澄清：“列表”权限的含义是什么？ “列表”是否意味着“您可以列出/查看它”但“您无法访问它”？ 如果是这样，IAM 角色：

角色/浏览器

其中包含权限（ https://cloud.google.com/iam/docs/understanding-roles#project-roles ）：

资源管理器.projects.list

应该能够看到所有项目的资源，包括 Cloud Storage（作为项目的子资源）！ 为什么那么该答案指出，使用此角色您无法列出存储桶中的对象。 ? 我希望你可以（只是）看到所有嵌套的资源！

谢谢

4 个解决方案

根据官方文档链接，链接：

resourcemanager.projects.list 权限允许用户列出他们拥有的项目。

例如， storage.buckets.list 权限允许成员列出您项目中的存储桶

要列出存储桶的内容，您需要 storage.objects.list

因此，我发现Google Cloud Platform 中 Project Browser role 和 Project Viewer role 之间的区别是什么这个问题的答案具有误导性：

storage.buckets.list -> 你会看到这个角色只有列出bucket内容的权限。 没有权限查看存储桶中对象的内容。

这不是真的！ 该角色授予您仅列出存储桶的权限。 为了列出存储桶的内容，需要角色：

角色/storage.objectViewer

更糟糕的是，在 Google 控制台中，您会看到一条消息，说要查看对象需要“storage.buckets.list”权限。 这不是 GCP 错误吗？

列表权限工作显示一个顶级而不是一个层次级别，浏览允许浏览内容但不能阅读它，这是不同的访问级别。

列出它与浏览不同，您可以列出存储桶（例如您拥有的存储桶列表），但您不必能够浏览它们上的内容。

资源管理器.projects.list

允许您在包含项目（通常是组织或文件夹）的父资源下列出项目。 换句话说，您可以为给定的文件夹或组织调用此 API： https : //cloud.google.com/resource-manager/reference/rest/v1/projects/list

storage.buckets.list

允许您在包含存储桶的父资源下列出存储桶，通常是一个项目。 换句话说，您可以为给定项目调用此 API： https : //cloud.google.com/storage/docs/json_api/v1/buckets/list

如何在 GCP 中列出包含给定权限的所有 IAM 角色

[英]How to list all the IAM roles that include a given permission in GCP

GCP 使用 Python 获取自定义 IAM 角色权限

[英]GCP Get Custom IAM role permission using Python

在 GCP 中对 Artifact Registry 设置 IAM 政策时出现权限错误

[英]Permission error when setting IAM policy on Artifact Registry in GCP

用于 SQL 实例 GCP 的 gcloud iam service-accounts list 命令

[英]gcloud iam service-accounts list command for SQL instance GCP

GCP 允许列出 GCS 对象但禁止下载

[英]GCP permission to list GCS objects but forbidden to download

GCP：IAM 和 BigQuery

[英]GCP: IAM and BigQuery

向 GCP 中的自定义 IAM 角色添加 apikeys.keys.getKeyString (alpha) 权限

[英]Adding apikeys.keys.getKeyString (alpha) permission to custom IAM role in GCP

没有 `iam.serviceAccounts.actAs` 权限的角色/编辑器的 GCP 角色替换

[英]GCP roles replacement for roles/editor which doesn't have `iam.serviceAccounts.actAs` permission

防止 GCP 中的 IAM 升级

[英]Prevent IAM escalation in GCP

访问/管理地图自动完成等 API 服务需要哪些 GCP IAM 权限？

[英]Which GCP IAM permission is needed to access/manage API Services like maps autocomplete?

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何在 GCP 中列出包含给定权限的所有 IAM 角色 GCP 使用 Python 获取自定义 IAM 角色权限在 GCP 中对 Artifact Registry 设置 IAM 政策时出现权限错误用于 SQL 实例 GCP 的 gcloud iam service-accounts list 命令 GCP 允许列出 GCS 对象但禁止下载 GCP：IAM 和 BigQuery 向 GCP 中的自定义 IAM 角色添加 apikeys.keys.getKeyString (alpha) 权限没有 `iam.serviceAccounts.actAs` 权限的角色/编辑器的 GCP 角色替换防止 GCP 中的 IAM 升级访问/管理地图自动完成等 API 服务需要哪些 GCP IAM 权限？

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM