Estoy aprendiendo GCP y tengo la siguiente pregunta con respecto a copiar objetos en un cubo.

En Cloudshell ejecuté gsutil cp earthquakes.* gs://welynx-test1 y cometí un error:

Copying file://earthquakes.csv [Content-Type=text/csv]...
AccessDeniedException: 403 Insufficient Permission 

Ya he iniciado sesión a través de SSH, así que verifiqué la identidad con whoami

xenonxie@instance-1:~/training-data-analyst/CPB100/lab2b$ whoami
xenonxie

Y luego procedí a editar el permiso del cubo:

enter image description here

Agregué una dirección de correo electrónico al miembro Administrador de almacenamiento.

Luego ejecuté gcloud auth login, y se me solicitó un enlace y al hacer clic en el enlace me lleva al navegador donde inicio sesión con una dirección de correo electrónico, y luego obtendré un código de verificación para pegar de nuevo en la ventana SSH, y luego se convirtió en conectado como ese usuario de correo electrónico:

Ahora ha iniciado sesión como [xenonxie @ gmail.com]. Su proyecto actual es [rock-percepción-263016]. Puede cambiar esta configuración ejecutando: $ gcloud config set project PROJECT_ID

Pregunta1: Lo que no entiendo es: sigo viendo el mismo whoami que se muestra a continuación:

xenonxie@instance-1:~/training-data-analyst/CPB100/lab2b$ whoami
xenonxie

Debido a que agregué el correo electrónico en el permiso de depósito como Administrador de almacenamiento, puedo guardar objetos en ese depósito.

Pregunta2:

Creo que no es necesario ser administrador de almacenamiento, todo lo que quiero es escribir un objeto en ese depósito. ¿Cuál es la mejor práctica para hacer eso?

Muchas gracias.

0
mdivk 1 ene. 2020 a las 02:00

2 respuestas

La mejor respuesta

Pregunta 1 ": Usted ve lo mismo whoami porque ese comando se ejecuta en el shell de la instancia, por lo que responde a la sesión en la instancia-1.

Pregunta 2: Sí, tiene usted razón. Si está utilizando el principio de privilegios mínimos ya que el administrador de almacenamiento es un rol con más privilegios de los necesarios, no es la mejor opción.

Como el caso de uso que describe es solo para escribir en el depósito, puede usar storage.objectCreator o roles/storage.legacyBucketWriter dependiendo de si necesita navegar en el depósito o no.

Para obtener más detalles sobre los roles disponibles, puede consultar esta página

EDITAR

Para ver cómo se usa la cuenta de Google Cloud Platform, puede usar gcloud auth list y debajo obtendrá una lista de cuentas y una se marcará como activa. El marcado como activo es el que se está utilizando.

1
José Soní 1 ene. 2020 a las 17:03

Pregunta 1 : whoami generará su nombre de usuario de inicio de sesión con usted. Use el comando gcloud auth list para verificar la cuenta de usuario / servicio actualmente autorizada en la máquina.

Pregunta 2 : no se necesita permiso de administrador de almacenamiento. El permiso storage.legacyBucketWriter sería suficiente.

Espero que esto ayude.

0
Vikas Saini 1 ene. 2020 a las 07:43