Best practice di controllo dell'accesso

In questa pagina vengono descritte le best practice per l'utilizzo di Identity and Access Management (IAM) e Elenchi di controllo di accesso (ACL) per gestire l'accesso ai dati.

Per essere efficaci, i criteri e gli ACL IAM richiedono la gestione attiva. Prima di rendere un bucket o un oggetto accessibile ad altri utenti, assicurati di sapere con chi vuoi condividere il bucket o l'oggetto e i ruoli che vuoi assegnare a ognuno di questi utenti. Nel corso del tempo, le modifiche alla gestione dei progetti, ai modelli di utilizzo e alla proprietà dell'organizzazione potrebbero richiedere la modifica delle impostazioni IAM o ACL sui bucket e sui progetti, soprattutto se gestisci Cloud Storage in una grande organizzazione o per un gruppo numeroso di utenti. Quando valuti e pianifichi le impostazioni di controllo dell'accesso#39;accesso, tieni a mente le seguenti best practice:

Utilizza il principio del privilegio minimo quando concedi l'accesso ai bucket o agli oggetti.

Il principio del privilegio minimo è una linea guida di sicurezza per concedere l'accesso alle tue risorse. Quando concedi l'accesso in base al principio del privilegio minimo, concedi l'autorizzazione minima necessaria a un utente per svolgere l'attività assegnata. Ad esempio, se vuoi condividere file con altri utenti, devi concedere loro il ruolo IAM storage.objectViewer o l'autorizzazione ACL READER e non il ruolo IAM storage.admin o l'autorizzazione OWNER ACL.
Evita di concedere ruoli IAM con autorizzazione setIamPolicy o di concedere l'autorizzazione ACL OWNER a persone che non conosci.

La concessione dell'autorizzazione IAM setIamPolicy o ACL OWNER consente a un utente di modificare le autorizzazioni e assumere il controllo dei dati. Utilizza i ruoli con queste autorizzazioni solo quando vuoi delegare il controllo amministrativo su oggetti e bucket.
Fai attenzione a come concedi le autorizzazioni agli utenti anonimi.

I tipi principali allUsers e allAuthenticatedUsers devono essere utilizzati solo quando è consentito a chiunque su internet di leggere e analizzare i tuoi dati. Sebbene questi ambiti siano utili per alcune applicazioni e scenari, di solito non è consigliabile concedere a tutti gli utenti determinate autorizzazioni, ad esempio le autorizzazioni IAM setIamPolicy, update, create o delete o l'autorizzazione ACL OWNER.
Assicurati di delegare il controllo amministrativo dei bucket.

Devi assicurarti che le tue risorse possano essere comunque gestite da altri membri del team nel caso in cui una persona con accesso amministrativo lasci il gruppo.

Per evitare che le risorse diventino inaccessibili, puoi eseguire una delle seguenti operazioni:
- Concedi il ruolo IAM Amministratore archiviazione per il tuo progetto a un gruppo anziché a un singolo
- Concedi il ruolo IAM Amministratore archiviazione per il tuo progetto ad almeno due persone
- Concedi l'autorizzazione ACL OWNER per il tuo bucket ad almeno due utenti
Fai attenzione al comportamento interoperabile di Cloud Storage.

Quando utilizzi l'API XML per l'accesso interoperabile con altri servizi di archiviazione, ad esempio Amazon S3, l'identificatore della firma determina la sintassi ACL. Ad esempio, se lo strumento o la libreria che stai utilizzando effettua una richiesta a Cloud Storage per recuperare gli ACL e la richiesta utilizza l'identificatore di firma di un altro fornitore di archiviazione, Cloud Storage restituisce un documento XML che utilizza la sintassi ACL del fornitore di archiviazione corrispondente. Se lo strumento o la libreria che stai utilizzando effettua una richiesta a Cloud Storage per applicare gli ACL e la richiesta utilizza l'identificatore di firma di un altro provider di archiviazione, Cloud Storage si aspetta di ricevere un documento XML che utilizza la sintassi ACL del fornitore di archiviazione corrispondente.

Per ulteriori informazioni sull'utilizzo dell'API XML per l'interoperabilità con Amazon S3, consulta Migrazione semplice da Amazon S3 a Cloud Storage.

Best practice di controllo dell'accesso

Passaggi successivi