GCP 等效于 aws 策略中的“拒绝”权限

Posted 2023-03-22

【中文标题】GCP 等效于 aws 策略中的“拒绝”权限

【英文标题】：GCP equivalent of "deny" permissions in aws policy

【发布时间】：2020-02-23 16:35:28

【问题描述】：

有没有办法拒绝 GCP 自定义角色中的权限？ 例如，这是 AWS 中拒绝对 S3 执行一组操作的策略： “Sid”：“拒绝 S3”， “效果”：“拒绝”， "动作": "s3:Get*", “资源”：“*” 有没有办法在 GCP 中定义类似的自定义角色？

【参考方案1】：

在 google Cloud 中，角色是根据格式创建的 <service>.<resource>.<verb> 指定要在资源上执行的确切角色。

因此，如果必须创建自定义角色，那么您可以添加上述特定角色或完全从角色中省略它们。

https://cloud.google.com/iam/docs/understanding-custom-roles

【讨论】：

谢谢。如何指定对特定资源名称的权限，例如：有一个权限 - “compute.images.list”，它授予对所有图像的列表权限。如何仅获得特定图像名称的权限？

@MichaelBalber 用例是什么？如果您的用例是不应该下载图像，那么 compute.images.list 就足够了。

【参考方案2】：

有没有办法拒绝 GCP 自定义角色中的权限？

不，IAM 角色在默认情况下被拒绝，并且只是附加的。

如何仅获得特定图像名称的权限？

IAM 角色的经典用例是将它们分配给 Google 项目。这就是角色授予您对该角色的该类型所有资源的权限的原因。

Google 已开始发布基于身份的资源访问控制。这意味着您可以将具有角色的身份附加到单个资源而不是项目。对于支持此功能的资源，右侧面板可让您设置权限。