我试图计算服务帐户向GCS存储桶写入文件所需的最小权限集。我想我可以存储.objectAdmin，但是使用为pythonsdk提供的示例代码，它将失败，并出现错误：my-service-account@my-project.googleapis.com does not have storage.buckets.get access to my-bucket

client = _get_storage_client()
bucket = client.bucket(current_app.config['CLOUD_STORAGE_BUCKET'])
blob = bucket.blob(filename)

blob.upload_from_string(
    file_stream,
    content_type=content_type)

这是因为客户端.bucket调用实际上从bucket读取元数据，这存储.objectAdmin不同意。当我使用时它会自动修复存储管理权限，但这也允许帐户删除整个bucket，这是我不想要的。添加存储.legacyBucketReader也可以，但我用的是一个传统角色，我不确定我应该继续做下去。在

这里的最佳实践是什么？在