s3:GetBucketLocation 在 GCP 上进行数据传输的 IAM 权限 API
s3:GetBucketLocation IAM permission for data transfer API on GCP
我想使用 GCP 的数据传输 API 将数据从 s3 抓取到我的 GCS 存储桶。 S3 存储桶由我们的客户端控制,我们对其控制为零。
我们学会了使用这个 API AWS IAM 必须具有这些权限:
- s3:列表桶
- s3:GetObject
- s3:GetBucketLocation
https://cloud.google.com/st..。 (已编辑)
当我问他们时,他们说权限是在前缀级别而不是存储桶级别给出的,因为存储桶有许多客户的数据,而不仅仅是我们。他们不想授予任何可能让我们访问整个桶数据的权限,我们应该被限制在我们的前缀级别。
我想知道在前缀级别请求此权限 (s3:GetBucketLocation) 是否能让我们访问存储桶中存在的所有数据?或者它只是允许传输 API 定位数据?
我确实检查了 AWS documentation,最接近的答案是关于 GetBucketLocation API,其中说明:
" Returns 存储桶所在的区域。您可以在 CreateBucket 请求中使用 LocationConstraint 请求参数设置存储桶的区域。有关更多信息,请参阅 CreateBucket。"
所以它似乎只是 returns 存储桶的区域但是没有找到特定于权限本身的文档。
在 google 文档中确实说 API 只需要区域,但是我们需要确保它不会为我们打开读取存储桶中所有数据的途径如果说得通。
如果您对此有任何了解,请告诉我。
首先,我认为您不需要以编程方式获取存储桶的区域。如果您对特定的桶感兴趣,也许客户可以告诉您它的区域?
操作级别的详细信息在 SAR for S3 中,它只是说:
Grants permission to return the Region that an Amazon S3 bucket resides in
所以它授予的对象级(即数据)访问权限没有任何意义。
我想使用 GCP 的数据传输 API 将数据从 s3 抓取到我的 GCS 存储桶。 S3 存储桶由我们的客户端控制,我们对其控制为零。
我们学会了使用这个 API AWS IAM 必须具有这些权限:
- s3:列表桶
- s3:GetObject
- s3:GetBucketLocation
https://cloud.google.com/st..。 (已编辑)
当我问他们时,他们说权限是在前缀级别而不是存储桶级别给出的,因为存储桶有许多客户的数据,而不仅仅是我们。他们不想授予任何可能让我们访问整个桶数据的权限,我们应该被限制在我们的前缀级别。
我想知道在前缀级别请求此权限 (s3:GetBucketLocation) 是否能让我们访问存储桶中存在的所有数据?或者它只是允许传输 API 定位数据?
我确实检查了 AWS documentation,最接近的答案是关于 GetBucketLocation API,其中说明:
" Returns 存储桶所在的区域。您可以在 CreateBucket 请求中使用 LocationConstraint 请求参数设置存储桶的区域。有关更多信息,请参阅 CreateBucket。"
所以它似乎只是 returns 存储桶的区域但是没有找到特定于权限本身的文档。
在 google 文档中确实说 API 只需要区域,但是我们需要确保它不会为我们打开读取存储桶中所有数据的途径如果说得通。
如果您对此有任何了解,请告诉我。
首先,我认为您不需要以编程方式获取存储桶的区域。如果您对特定的桶感兴趣,也许客户可以告诉您它的区域?
操作级别的详细信息在 SAR for S3 中,它只是说:
Grants permission to return the Region that an Amazon S3 bucket resides in
所以它授予的对象级(即数据)访问权限没有任何意义。