Visão geral do controle de acesso

É possível controlar quem tem acesso aos seus buckets e objetos do Cloud Storage e o nível de acesso que essas pessoas têm.

Escolher entre acesso uniforme e refinado

Ao criar um bucket, decida se você quer aplicar permissões usando o acesso uniforme ou refinado.

Como usar permissões do IAM com ACLs

O Cloud Storage oferece dois sistemas para conceder aos usuários permissão de acesso aos buckets e objetos: IAM e Listas de controle de acesso (ACLs). Eles atuam em paralelo. Para que um usuário acesse um recurso do Cloud Storage, basta receber a permissão de um dos sistemas. Por exemplo, se a política do IAM do bucket permitir que apenas alguns usuários leiam dados do objeto, mas um dos objetos no bucket tiver uma ACL que o torna legível publicamente, essa política específica objeto é exposto ao público.

Na maioria dos casos, o IAM é o método recomendado para controlar o acesso aos recursos. O IAM controla a permissão em todo o Google Cloud e permite que você conceda permissões nos níveis do bucket e do projeto. Use o IAM para todas as permissões que se aplicam a vários objetos em um bucket para reduzir os riscos da exposição não intencional. Para usar o IAM exclusivamente, ative o acesso uniforme no nível do bucket para proibir ACLs de todos os recursos do Cloud Storage.

As ACLs controlam a permissão apenas para recursos do Cloud Storage e têm opções de permissão limitadas, mas permitem que você conceda permissões por objetos individuais. É provável que você queira usar ACLs para os seguintes casos de uso:

  • Personalize o acesso a objetos individuais em um bucket.
  • Migrar dados do Amazon S3.

Opções adicionais de controle de acesso

Além do IAM e das ACLs, as ferramentas a seguir estão disponíveis para ajudar a controlar o acesso aos recursos:

URLs assinadas (Autenticação de string de consulta)

Use URLs assinados para conceder acesso de leitura ou gravação por tempo limitado a um objeto por meio de um URL gerado por você. Qualquer pessoa com quem você compartilhar o URL poderá acessar o objeto pelo tempo especificado, independentemente de ter ou não uma conta do usuário.

É possível usar URLs assinados, além de IAM e ACLs. Por exemplo, é possível usar o IAM para conceder acesso a um bucket apenas para algumas pessoas. Depois, crie um URL assinado que permita que outras pessoas acessem um recurso específico no bucket.

Saiba como criar URLs assinados:

Documentos de política assinados

Use documentos de política assinados para especificar o que pode ser enviado para um bucket. Documentos de política permitem maior controle sobre o tamanho, tipo de conteúdo e outras características de upload do que URLs assinadas. Eles também podem ser usados por proprietários de sites para permitir que os visitantes façam o upload de arquivos no Cloud Storage.

É possível usar documentos de política assinados além do IAM e das ACLs. Por exemplo, é possível usar o IAM para permitir que as pessoas na sua organização façam upload de qualquer objeto e, em seguida, criar um documento de política assinado que permita aos visitantes do site fazer upload apenas de objetos que atendam a critérios específicos.

Regras de segurança do Firebase

Use as regras de segurança do Firebase para fornecer controle de acesso refinado e baseado em atributos a aplicativos para dispositivos móveis e Web usando os SDKs do Firebase para Cloud Storage. Por exemplo, é possível especificar quem pode fazer o upload ou download de objetos, o tamanho de um objeto ou quando pode ser feito o download de um objeto.

Prevenção de acesso público

Use a prevenção de acesso público para restringir o acesso público a buckets e objetos. Quando você ativa a prevenção de acesso público, os usuários que têm acesso por allUsers e allAuthenticatedUsers ficam sem permissão para acessar dados.

Limites de acesso a credenciais

Use Limites de acesso a credenciais para reduzir as permissões disponíveis para um token de acesso do OAuth 2.0. Primeiro, defina um Limite de acesso a credenciais que especifique quais buckets o token pode acessar, bem como um limite superior nas permissões disponíveis nesse bucket. Em seguida, você pode criar um token de acesso do OAuth 2.0 e trocá-lo por um novo token de acesso que respeite o limite de acesso a credenciais

A seguir