访问权限控制选项

您可以控制有权访问您的 Cloud Storage 存储分区和对象的用户,以及他们拥有的访问权限级别。以下内容总结了您可以使用的访问权限控制选项,以及可以帮助您详细了解每个选项的链接:

  • Cloud Identity and Access Management (Cloud IAM) 权限:授予存储分区的访问权限以及存储分区中的对象的批量访问权限。利用 IAM 权限,您可以广泛控制项目和存储分区,但不能对单个对象进行精细控制。如需了解 Cloud Storage 专属的 Cloud IAM 权限和角色,以及哪些权限可让用户在存储分区和对象上运行 JSON 和 XML 方法,请参阅 Cloud IAM 参考页面。如需了解如何使用 Cloud IAM 权限,请参阅使用 Cloud IAM 权限

  • 访问控制列表 (ACL):向用户授予个别存储分区或对象的读取或写入访问权限。在大多数情况下,您应该使用 IAM 权限(而不是 ACL)。仅在需要对单个对象进行精细控制时才使用 ACL。如需了解如何使用 ACL,请参阅创建和管理访问控制列表

  • 签名网址(查询字符串身份验证):通过您生成的网址向用户授予对象的限时读取或写入访问权限。共享了您提供的网址的任何用户都可以在您指定的时间内访问对象(无论他们是否拥有 Google 帐号)。了解如何创建签名网址:

  • 签名政策文档:指定可以上传到存储分区的内容。 相比签名网址,政策文档可进一步控制上传内容的大小、类型和其他特征,并且网站所有者可以使用政策文档来允许访问者将文件上传到 Cloud Storage 中。

  • Firebase 安全规则:使用适用于 Cloud Storage 的 Firebase SDK,对移动应用和 Web 应用进行基于特性的精细访问权限控制。 例如,您可以指定能够上传或下载对象的用户、对象的大小上限或对象可下载的时间。

这些选项并不相互排斥。例如,您通常可以使用 ACL 来提供存储分区的专用访问权限,然后可以创建一个签名网址或政策文档,允许您选择的任意用户访问存储分区内的资源(绕过 ACL 机制)。

如需查看涉及设置存储分区和对象 ACL 的共享及协作情景示例,请参阅共享和协作

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud Storage
需要帮助?请访问我们的支持页面