访问控制选项

您可以控制谁有权访问您的 Cloud Storage 存储分区和对象,以及他们拥有的权限级别。以下内容总结了您可以使用的访问控制选项,以及可以帮助您详细了解每个选项的链接:

  • Cloud Identity and Access Management (Cloud IAM) 权限:授予存储分区的访问权限以及存储分区中的对象的批量访问权限。利用 IAM 权限,您可以广泛控制项目和存储分区,但不能对单个对象进行精细控制。如需了解特定于 Cloud Storage 的 IAM 权限和角色的参考,以及哪些权限允许用户在存储分区和对象上运行 JSON 和 XML 方法,请参阅 IAM 参考页面。如需了解如何使用 Cloud IAM 权限,请参阅使用 Cloud IAM 权限

  • 访问控制列表 (ACL):向用户授予各个存储分区或对象的读取或写入权限。在大多数情况下,您应该使用 IAM 权限(而不是 ACL)。仅在需要对单个对象进行精细控制时才使用 ACL。如需了解如何使用 ACL,请参阅创建和管理访问控制列表

  • 签名网址(查询字符串身份验证):通过您生成的网址向用户授予对象的限时读取或写入权限。共享了您提供的网址的任何用户都可以在您指定的时间内访问对象(无论他们是否拥有 Google 帐号)。了解如何创建签名网址:

  • 签名政策文档:指定可以上传到存储分区的内容。相比签名网址,政策文档允许用户更好地控制上传大小、内容类型和其他上传特征,并且网站所有者可以使用政策文档来允许访问者将文件上传到 Cloud Storage 中。

  • Firebase 安全规则:通过适用于 Cloud Storage 的 Firebase SDK,为移动应用和网页应用提供基于属性的精细访问控制。例如,您可以指定能够上传或下载对象的人员、对象的大小或允许下载对象的时间。

这些选项并不相互排斥。例如,您通常可以使用 ACL 来提供存储分区的专有访问权限,随后,您可以创建一个签名网址或政策文档,以便允许您选择的任意用户访问存储分区内的资源(绕过 ACL 机制)。

如需了解涉及设置存储分区和对象 ACL 的共享和协作情景的示例,请参阅共享和协作

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud Storage
需要帮助?请访问我们的支持页面