Questa pagina descrive le best practice per l'utilizzo di Identity and Access Management (IAM) e degli elenchi di controllo dell'accesso (ACL) per gestire l'accesso ai dati.
I criteri IAM e gli ACL richiedono una gestione attiva per essere efficaci. Prima di rendere un bucket o un oggetto accessibile ad altri utenti, assicurati di sapere con chi vuoi condividerlo e quali ruoli vuoi assegnare a ciascuna di queste persone. Nel tempo, le modifiche alla gestione dei progetti, ai pattern di utilizzo e alla proprietà dell'organizzazione potrebbero richiedere la modifica delle impostazioni IAM o ACL su bucket e progetti, in particolare se gestisci Cloud Storage in un'organizzazione di grandi dimensioni o per un gruppo numeroso di utenti. Quando giudichi e pianifichi le impostazioni di controllo dell'accesso#39;accesso, tieni presente le seguenti best practice:
Utilizza il principio del privilegio minimo quando concedi l'accesso ai tuoi bucket o ai tuoi oggetti.
Il principio del privilegio minimo è una linea guida di sicurezza per la concessione dell'accesso alle risorse. Quando concedi l'accesso in base al principio del privilegio minimo, concedi l'autorizzazione minima necessaria per consentire a un utente di svolgere l'attività assegnata. Ad esempio, se vuoi condividere file con qualcuno, devi concedergli il ruolo IAM
storage.objectViewero l'autorizzazione ACLREADERe non il ruolo IAMstorage.admino l'autorizzazione ACLOWNER.Evita di concedere ruoli IAM con autorizzazione
setIamPolicyo di concedere l'autorizzazione ACLOWNERa persone che non conosci.La concessione dell'autorizzazione IAM
setIamPolicyo dell'autorizzazione ACLOWNERconsente a un utente di modificare le autorizzazioni e di assumere il controllo dei dati. Devi utilizzare i ruoli con queste autorizzazioni solo se vuoi delegato il controllo amministrativo su oggetti e bucket.Presta attenzione a come vengono concesse le autorizzazioni agli utenti anonimi.
I tipi di entità principali
allUserseallAuthenticatedUsersdevono essere utilizzati solo quando è accettabile che chiunque su internet legga e analizzi i tuoi dati. Sebbene questi ambiti siano utili per alcune applicazioni e scenari, in genere non è una buona idea concedere a tutti gli utenti determinate autorizzazioni, ad esempio le autorizzazioni IAMsetIamPolicy,update,createodeleteo l'autorizzazioneOWNERper le ACL.Assicurati di delegare il controllo amministrativo dei tuoi bucket.
Assicurati che le tue risorse possano essere gestite da altri membri del team se una persona con accesso amministrativo lascia il gruppo.
Per evitare che le risorse diventino inaccessibili, puoi procedere in uno dei seguenti modi:
Concedi il ruolo IAM Amministratore archiviazione per il tuo progetto a un gruppo anziché a una persona
Concedi il ruolo IAM Amministratore archiviazione per il tuo progetto ad almeno due persone
Concedi l'autorizzazione ACL
OWNERper il tuo bucket ad almeno due persone
Fai attenzione al comportamento interoperabile di Cloud Storage.
Quando utilizzi l'API XML per l'accesso interoperabile con altri servizi di archiviazione, come Amazon S3, l'identificatore della firma determina la sintassi ACL. Ad esempio, se lo strumento o la libreria che utilizzi invia una richiesta a Cloud Storage per recuperare le ACL e la richiesta utilizza l'identificatore della firma di un altro provider di archiviazione, Cloud Storage restituisce un documento XML che utilizza la sintassi ACL del provider di archiviazione corrispondente. Se lo strumento o la libreria che utilizzi invia una richiesta a Cloud Storage per applicare le ACL e la richiesta utilizza l'identificatore della firma di un altro provider di archiviazione, Cloud Storage si aspetta di ricevere un documento XML che utilizzi la sintassi ACL del provider di archiviazione corrispondente.
Per ulteriori informazioni sull'utilizzo dell'API XML per l'interoperabilità con Amazon S3, consulta Migrazione semplice da Amazon S3 a Cloud Storage.
Passaggi successivi
- Scopri come utilizzare i criteri IAM con Cloud Storage.
- Scopri come utilizzare le ACL con Cloud Storage.
- Esamina la tabella di riferimento IAM per Cloud Storage.