I criteri IAM e gli ACL richiedono una gestione attiva per essere efficaci.
Prima di rendere un bucket o un oggetto accessibile ad altri utenti, assicurati di sapere con chi vuoi condividerlo e quali ruoli vuoi assegnare a ciascuna di queste persone. Nel tempo, le modifiche alla gestione dei progetti, ai pattern di utilizzo e alla proprietà dell'organizzazione potrebbero richiedere la modifica delle impostazioni IAM o ACL su bucket e progetti, in particolare se gestisci Cloud Storage in un'organizzazione di grandi dimensioni o per un gruppo numeroso di utenti. Quando giudichi e pianifichi le impostazioni di controllo dell'accesso, tieni presente le seguenti best practice:
Utilizza il principio del privilegio minimo quando concedi l'accesso ai tuoi bucket o ai tuoi oggetti.
Il principio del privilegio minimo è una linea guida di sicurezza per la concessione dell'accesso alle risorse. Quando concedi l'accesso in base al principio del privilegio minimo, concedi l'autorizzazione minima necessaria per consentire a un utente di svolgere l'attività assegnata. Ad esempio, se vuoi condividere file con qualcuno, devi concedergli il ruolo IAM storage.objectViewer o l'autorizzazione ACL READER e non il ruolo IAM storage.admin o l'autorizzazione ACL OWNER.
Evita di concedere ruoli IAM con autorizzazione setIamPolicy o di concedere l'autorizzazione ACL OWNER a persone che non conosci.
La concessione dell'autorizzazione IAM setIamPolicy o dell'autorizzazione ACL OWNER consente a un utente di modificare le autorizzazioni e di assumere il controllo dei dati. Devi utilizzare i ruoli con queste autorizzazioni solo se vuoi delegato il controllo amministrativo su oggetti e bucket.
Presta attenzione a come vengono concesse le autorizzazioni agli utenti anonimi.
I tipi di entità allUsers e allAuthenticatedUsers devono essere utilizzati solo quando è accettabile che chiunque su internet legga e analizzi i tuoi dati. Sebbene questi ambiti siano utili per alcune applicazioni e scenari, in genere non è una buona idea concedere a tutti gli utenti determinate autorizzazioni, ad esempio le autorizzazioni IAM setIamPolicy, update, create o delete oppure l'autorizzazione OWNER per le ACL.
Assicurati di delegare il controllo amministrativo dei tuoi bucket.
Assicurati che le tue risorse possano essere gestite da altri membri del team se una persona con accesso amministrativo lascia il gruppo.
Per evitare che le risorse diventino inaccessibili, puoi procedere in uno dei seguenti modi:
Concedi il ruolo IAM Amministratore archiviazione per il tuo progetto a un gruppo anziché a una persona
Concedi il ruolo IAM Amministratore archiviazione per il tuo progetto ad almeno due persone
Concedi l'autorizzazione ACL OWNER per il tuo bucket ad almeno due persone
Tieni presente il comportamento interoperabile di Cloud Storage.
Quando utilizzi l'API XML per l'accesso interoperabile con altri servizi di archiviazione, come Amazon S3, l'identificatore della firma determina la sintassi ACL. Ad esempio, se lo strumento o la libreria che utilizzi invia una richiesta a Cloud Storage per recuperare le ACL e la richiesta utilizza l'identificatore della firma di un altro provider di archiviazione, Cloud Storage restituisce un documento XML che utilizza la sintassi ACL del provider di archiviazione corrispondente. Se lo strumento o la libreria che utilizzi invia una richiesta a Cloud Storage per applicare le ACL e la richiesta utilizza l'identificatore della firma di un altro provider di archiviazione, Cloud Storage si aspetta di ricevere un documento XML che utilizzi la sintassi ACL del provider di archiviazione corrispondente.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-05 UTC."],[],[],null,["# Access control best practices\n\nThis page describes best practices for using\n[Identity and Access Management (IAM)](/storage/docs/access-control/iam)\nand [Access Control Lists (ACLs)](/storage/docs/access-control/lists) to manage access to your data.\n\nIAM policies and ACLs require active management to be effective.\nBefore you make a bucket or object accessible to other users, be sure you know\nwho you want to share the bucket or object with and what roles you want each of\nthose people to have. Over time, changes in project management, usage patterns,\nand organizational ownership may require you to modify IAM or ACL\nsettings on buckets and projects, especially if you manage\nCloud Storage in a large organization or for a large group of users. As\nyou evaluate and plan your access control settings, keep the following best\npractices in mind:\n\n- **Use the principle of least privilege when granting access to your buckets or\n objects.**\n\n The [*principle of least privilege*](https://en.wikipedia.org/wiki/Principle_of_least_privilege) is a security\n guideline for granting access to your resources. When you grant access based\n on the principle of least privilege, you grant the minimum permission\n that's necessary for a user to accomplish their assigned task. For example,\n if you want to share files with someone, you should grant them the\n `storage.objectViewer` IAM role or the `READER` ACLs\n permission, and not the `storage.admin` IAM role or the\n `OWNER` ACLs permission.\n- **Avoid granting IAM roles with `setIamPolicy` permission or\n granting the ACL `OWNER` permission to people you do not know.**\n\n Granting the `setIamPolicy` IAM permission or the\n `OWNER` ACLs permission allows a user to change permissions and take control\n of data. You should use roles with these permissions only when you want to\n delegate administrative control over objects and buckets.\n- **Be careful how you grant permissions for anonymous users.**\n\n The `allUsers` and `allAuthenticatedUsers` principal types should only be\n used when it is acceptable for anyone on the Internet to read and analyze\n your data. While these scopes are useful for some applications and\n scenarios, it is usually not a good idea to grant all users certain\n permissions, such as the IAM permissions `setIamPolicy`,\n `update`, `create`, or `delete`, or the ACLs `OWNER` permission.\n- **Be sure you delegate administrative control of your buckets.**\n\n You should be sure that your resources can still be managed by\n other team members should an individual with administrative access leave the\n group.\n\n To prevent resources from becoming inaccessible, you can do any of the\n following:\n - Grant the **Storage Admin** IAM role for your project to a\n group instead of an individual\n\n - Grant the **Storage Admin** IAM role for your project to\n at least two individuals\n\n - Grant the `OWNER` ACLs permission for your bucket to at least two\n individuals\n\n- **Be aware of Cloud Storage's interoperable behavior.**\n\n When using the XML API for interoperable access with other storage services,\n such as Amazon S3, the signature identifier determines the ACL syntax. For\n example, if the tool or library you are using makes a request to\n Cloud Storage to retrieve ACLs and the request uses another storage\n provider's signature identifier, then Cloud Storage returns an XML\n document that uses the corresponding storage provider's ACL syntax. If the\n tool or library you are using makes a request to Cloud Storage to\n apply ACLs and the request uses another storage provider's signature\n identifier, then Cloud Storage expects to receive an XML document\n that uses the corresponding storage provider's ACL syntax.\n\n For more information about using the XML API for interoperability with\n Amazon S3, see [Simple migration from Amazon S3 to Cloud Storage](/storage/docs/aws-simple-migration).\n\nWhat's next\n-----------\n\n- [Learn how to use IAM policies with Cloud Storage](/storage/docs/access-control/using-iam-permissions).\n- [Learn how to use ACLs with Cloud Storage](/storage/docs/access-control/create-manage-lists).\n- [Review the IAM reference table for Cloud Storage](/storage/docs/access-control/iam-reference)."]]
