In questa pagina vengono descritte le best practice per l'utilizzo di Identity and Access Management (IAM) e Elenchi di controllo di accesso (ACL) per gestire l'accesso ai dati.
Per essere efficaci, i criteri e gli ACL IAM richiedono la gestione attiva. Prima di rendere un bucket o un oggetto accessibile ad altri utenti, assicurati di sapere con chi vuoi condividere il bucket o l'oggetto e i ruoli che vuoi assegnare a ognuno di questi utenti. Nel corso del tempo, le modifiche alla gestione dei progetti, ai modelli di utilizzo e alla proprietà dell'organizzazione potrebbero richiedere la modifica delle impostazioni IAM o ACL sui bucket e sui progetti, soprattutto se gestisci Cloud Storage in una grande organizzazione o per un gruppo numeroso di utenti. Quando valuti e pianifichi le impostazioni di controllo dell'accesso#39;accesso, tieni a mente le seguenti best practice:
Utilizza il principio del privilegio minimo quando concedi l'accesso ai bucket o agli oggetti.
Il principio del privilegio minimo è una linea guida di sicurezza per concedere l'accesso alle tue risorse. Quando concedi l'accesso in base al principio del privilegio minimo, concedi l'autorizzazione minima necessaria a un utente per svolgere l'attività assegnata. Ad esempio, se vuoi condividere file con altri utenti, devi concedere loro il ruolo IAM
storage.objectViewer
o l'autorizzazione ACLREADER
e non il ruolo IAMstorage.admin
o l'autorizzazioneOWNER
ACL.Evita di concedere ruoli IAM con autorizzazione
setIamPolicy
o di concedere l'autorizzazione ACLOWNER
a persone che non conosci.La concessione dell'autorizzazione IAM
setIamPolicy
o ACLOWNER
consente a un utente di modificare le autorizzazioni e assumere il controllo dei dati. Utilizza i ruoli con queste autorizzazioni solo quando vuoi delegare il controllo amministrativo su oggetti e bucket.Fai attenzione a come concedi le autorizzazioni agli utenti anonimi.
I tipi principali
allUsers
eallAuthenticatedUsers
devono essere utilizzati solo quando è consentito a chiunque su internet di leggere e analizzare i tuoi dati. Sebbene questi ambiti siano utili per alcune applicazioni e scenari, di solito non è consigliabile concedere a tutti gli utenti determinate autorizzazioni, ad esempio le autorizzazioni IAMsetIamPolicy
,update
,create
odelete
o l'autorizzazione ACLOWNER
.Assicurati di delegare il controllo amministrativo dei bucket.
Devi assicurarti che le tue risorse possano essere comunque gestite da altri membri del team nel caso in cui una persona con accesso amministrativo lasci il gruppo.
Per evitare che le risorse diventino inaccessibili, puoi eseguire una delle seguenti operazioni:
Concedi il ruolo IAM Amministratore archiviazione per il tuo progetto a un gruppo anziché a un singolo
Concedi il ruolo IAM Amministratore archiviazione per il tuo progetto ad almeno due persone
Concedi l'autorizzazione ACL
OWNER
per il tuo bucket ad almeno due utenti
Fai attenzione al comportamento interoperabile di Cloud Storage.
Quando utilizzi l'API XML per l'accesso interoperabile con altri servizi di archiviazione, ad esempio Amazon S3, l'identificatore della firma determina la sintassi ACL. Ad esempio, se lo strumento o la libreria che stai utilizzando effettua una richiesta a Cloud Storage per recuperare gli ACL e la richiesta utilizza l'identificatore di firma di un altro fornitore di archiviazione, Cloud Storage restituisce un documento XML che utilizza la sintassi ACL del fornitore di archiviazione corrispondente. Se lo strumento o la libreria che stai utilizzando effettua una richiesta a Cloud Storage per applicare gli ACL e la richiesta utilizza l'identificatore di firma di un altro provider di archiviazione, Cloud Storage si aspetta di ricevere un documento XML che utilizza la sintassi ACL del fornitore di archiviazione corrispondente.
Per ulteriori informazioni sull'utilizzo dell'API XML per l'interoperabilità con Amazon S3, consulta Migrazione semplice da Amazon S3 a Cloud Storage.
Passaggi successivi
- Scopri come utilizzare i criteri IAM con Cloud Storage.
- Scopri come utilizzare gli ACL con Cloud Storage.
- Esamina la tabella di riferimento IAM per Cloud Storage.