署名付きurl
有効期限を設けて、ある特定のURLからのみアクセスできるようにするための機能です。
一時的に他のユーザにファイルを共有したりすることが可能になります
ユーザ単位のアクセス制御ではないため、有効期限内であれば、誰でも
Application Default Credentials (ADC) supports fetching tokens from the metadata service (Compute Engine, Cloud Run, Cloud Functions, etc). That means that the private key is not available to sign data.
なぜ、通常のADCではだめなのか。private keyを持たないタイプなので? 署名時のkeyがない。
その場合に、roleのservice account token Creatorを持って 便宜的な? service accountのkeyみたいなもの?を得る??
localで、service accountのkeyを使えば、gsutilで簡単にできる。 gsutil signurl -d 1m ~/privateKey.json 'gs://BUCKET/A.png
ただ、cloud側でやるには、keyを持つ方法の考慮が???