# #google-app-engine #google-cloud-storage #google-iam
Вопрос:
Я пытаюсь изменить доступ к ведрам облачного хранилища Google из App Engine. Корзины содержат файл изображения (PNG). Приложение создает веб-страницы, на которых отображаются различные изображения из корзин.
С мелкозернистым доступом по умолчанию это работает. Так всегда было настроено приложение.
При попытке переключиться на единый доступ изображения больше не отображаются на веб-страницах. Я добавил учетную запись службы GAE с помощью средства просмотра объектов хранения. Не работает. Я даже добавил всех пользователей с помощью средства просмотра объектов хранения, но это не работает.
Что я делаю не так?
Ответ №1:
Когда вы включаете единый доступ на уровне сегментов для существующего сегмента, вы должны убедиться, что пользователи и службы, которые ранее использовали списки управления доступом для доступа, перенесли свои разрешения в IAM. В этом разделе описываются некоторые шаги, которые следует предпринять при переносе корзины на единый доступ на уровне корзины. Обратите внимание, что, поскольку списки управления доступом и IAM синхронизируются для разрешений корзины, ваши соображения сосредоточены конкретно на доступе к объектам в вашей корзине, а не на доступе к корзине.
Возможно, вы захотите попробовать этот документ, описывающий поведение, ожидаемое при включении или использовании единого доступа.
Комментарии:
1. Позвольте мне задать этот вопрос больше в качестве примера использования. Это в основном веб-приложение, и изображения должны отображаться на веб-странице, имеет ли смысл использовать какую-либо единую политику доступа, которая не является общедоступной? Мы хотели бы запретить людям угадывать URL-адреса страниц (в GCS) и отображать случайные изображения. Вот почему мы рассмотрели политику непубличного доступа. Возможно, лучший способ сделать это-сделать все изображения общедоступными и использовать подписанные URL-адреса. Изображения по-прежнему будут общедоступными, но будет гораздо сложнее угадать URL-адрес любого изображения.