Options de contrôle des accès

Vous pouvez contrôler qui a accès à vos buckets et objets Cloud Storage, ainsi que le niveau d'accès dont disposent ces utilisateurs. Vous trouverez ci-dessous un récapitulatif des options disponibles en matière de contrôle des accès, ainsi que des liens pour en savoir plus sur chacune d'entre elles :

  • Autorisations Cloud Identity and Access Management (Cloud IAM) : accordez l'accès aux buckets, ainsi qu'un accès groupé aux objets d'un bucket. Avec les autorisations Cloud IAM, vous bénéficiez d'un contrôle étendu sur vos projets et sur vos buckets, mais pas d'un contrôle précis sur des objets individuels. Pour connaître les autorisations et les rôles Cloud IAM propres à Cloud Storage, ainsi que les autorisations permettant aux utilisateurs d'exécuter des méthodes JSON et XML sur des buckets et des objets, consultez les pages de référence Cloud IAM. Pour savoir comment appliquer les autorisations Cloud IAM, consultez la page Utiliser des autorisations Cloud IAM.

  • Listes de contrôle d'accès (LCA) : accordez aux utilisateurs un accès en lecture ou en écriture pour des buckets ou des objets individuels. Dans la plupart des cas, vous devez employer les autorisations Cloud IAM au lieu des LCA. N'utilisez ces dernières que lorsque vous avez besoin d'exercer un contrôle précis sur des objets individuels. Pour découvrir comment utiliser les LCA, consultez la page Créer et gérer des listes de contrôle d'accès.

  • URL signées (authentification par chaîne de requête) : accordez un accès en lecture ou en écriture limité dans le temps à un objet, via une URL que vous générez. Toute personne avec laquelle vous partagez cette URL peut accéder à l'objet pendant la durée que vous spécifiez, qu'elle possède ou non un compte Google. Apprenez à créer des URL signées des façons suivantes :

  • Documents de stratégie signés : spécifiez ce qui peut être importé dans un bucket. Les documents de stratégie offrent un meilleur contrôle de la taille, du type de contenus et d'autres caractéristiques d'importation que les URL signées. Ils permettent aux propriétaires de sites Web d'autoriser les visiteurs à importer des fichiers dans Cloud Storage.

  • Règles de sécurité Firebase : définissez un contrôle des accès aux applications mobiles et Web qui soit à la fois précis et basé sur des attributs, en utilisant les SDK Firebase pour Cloud Storage. Par exemple, vous pouvez spécifier qui peut importer ou télécharger des objets, la taille que peut avoir un objet ou quand un objet peut être téléchargé.

Ces options ne s'excluent pas mutuellement. Par exemple, vous pouvez vous servir des LCA pour octroyer d'une manière générale un accès privé à un bucket, puis créer une URL signée ou un document de stratégie permettant à la personne de votre choix d'accéder à une ressource du bucket, en contournant le mécanisme des LCA.

Pour obtenir des exemples de scénarios de partage et de collaboration impliquant la définition de LCA de buckets et d'objets, consultez la page Partage et collaboration.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Besoin d'aide ? Consultez notre page d'assistance.