Questa pagina descrive come controllare l'accesso ai bucket e agli oggetti utilizzando gli elenchi di controllo dell'accesso (ACL). Gli ACL sono un meccanismo che puoi utilizzare per definire chi ha accesso ai tuoi bucket e ai tuoi oggetti, nonché il relativo livello di accesso.
Per saperne di più sull'uso degli ACL per controllare l'accesso alle risorse, consulta la panoramica ACL.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per creare e gestire gli ACL, chiedi all'amministratore di concederti il ruolo IAM Amministratore Storage (roles/storage.admin
) per il bucket che contiene gli oggetti per i quali vuoi creare e gestire gli ACL.
Impostare o modificare gli ACL
Console
Vai al browser Cloud Storage nella console Google Cloud.
Vai al browser di Cloud StorageFai clic sul nome del bucket che contiene l'oggetto di cui vuoi modificare l'ACL.
Fai clic sul nome dell'oggetto.
Fai clic su Modifica accesso.
Si apre una finestra di dialogo delle autorizzazioni con l'ACL attuale dell'oggetto.
Fai clic su + Aggiungi voce.
Scegli il tipo di entità a cui concedere l'autorizzazione.
Entità specifica il tipo di elementi che ricevono l'autorizzazione (ad esempio un utente o un gruppo). Consulta Ambiti del controllo dell'accesso per un elenco dei valori supportati per Entità.
Inserisci un valore in Nome.
Nome identifica un utente, un gruppo o un altro tipo di entità specifico. Consulta Ambiti di controllo dell'accesso per un elenco dei valori supportati per Nome.
Insieme, Entità e Nome definiscono a chi si applica l'autorizzazione.
Scegli un valore in Accesso.
Accesso definisce l'autorizzazione che vuoi impostare per l'oggetto. Consulta Autorizzazioni di controllo dell'accesso per un elenco dei valori supportati per Accesso.
Fai clic su Salva.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta Risoluzione dei problemi.
Riga di comando
Per aggiungere, modificare o rimuovere una singola concessione per un oggetto, utilizza il comando objects update
con il flag desiderato:
gcloud storage objects update gs://BUCKET_NAME/OBJECT_NAME FLAG
Dove:
BUCKET_NAME
è il nome del bucket che contiene l'oggetto a cui si applica la modifica. Ad esempio,example-travel-maps
.OBJECT_NAME
è il nome dell'oggetto a cui si applica la modifica. Ad esempio,paris.jpg
.FLAG
è uno dei seguenti:--add-acl-grant
e la concessione che vuoi aggiungere o modificare. Ad esempio:--add-acl-grant=entity=user-jane@gmail.com,role=READER
.--remove-acl-grant
e l'entità di cui vuoi rimuovere l'accesso. Ad esempio:--remove-acl-grant=user-jane@gmail.com
.
Per sostituire tutti gli ACL di un oggetto:
Definisci gli ACL in un file in formato JSON o YAML.
Utilizza il comando
objects update
con il flag--acl-file
:gcloud storage objects update gs://BUCKET_NAME/OBJECT_NAME --acl-file=FILE_LOCATION
Dove:
BUCKET_NAME
è il nome del bucket che contiene l'oggetto a cui si applicano gli ACL. Ad esempio,example-travel-maps
.OBJECT_NAME
è il nome dell'oggetto a cui si applicano gli ACL. Ad esempio,paris.jpg
.FILE_LOCATION
è il percorso locale del file che contiene gli ACL che hai definito. Ad esempio,Desktop/acls.json
.
Di seguito sono riportati i contenuti di un file ACL di esempio. Questi ACL concedono
ai proprietari del progetto 867489160491
insieme all'utente jane@gmail.com
OWNER
l'autorizzazione per l'oggetto paris.jpg
e ai membri
del gruppo gs-announce
l'autorizzazione READER
per questo oggetto:
[ { "entity": "project-owners-867489160491", "role": "OWNER", "projectTeam": { "projectNumber": "867489160491", "team": "owners" }, }, { "entity": "user-jane@gmail.com", "email": "jane@gmail.com", "role": "OWNER" }, { "entity": "group-gs-announce@googlegroups.com", "email": "gs-announce@googlegroups.com", "role": "READER" } ]
Librerie client
C++
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C++ di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL a un oggetto:
Nell'esempio seguente viene rimosso un ACL da un oggetto:
C#
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C# di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL a un oggetto:
Nell'esempio seguente viene rimosso un ACL da un oggetto:
Go
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Go di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL a un oggetto:
Nell'esempio seguente viene rimosso un ACL da un oggetto:
Java
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL a un oggetto:
Nell'esempio seguente viene rimosso un ACL da un oggetto:
Node.js
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Node.js di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL a un oggetto:
Nell'esempio seguente viene rimosso un ACL da un oggetto:
PHP
Per maggiori informazioni, consulta la documentazione di riferimento dell'API PHP di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL a un oggetto:
Nell'esempio seguente viene rimosso un ACL da un oggetto:
Python
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL a un oggetto:
Nell'esempio seguente viene rimosso un ACL da un oggetto:
Ruby
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Ruby di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL a un oggetto:
Nell'esempio seguente viene rimosso un ACL da un oggetto:
API REST
API JSON
Quando crei un oggetto, puoi specificare la proprietà acl[]
nel corpo della richiesta o il parametro di query predefinedAcl
in una richiesta di inserimento. Per un oggetto esistente, specifica la proprietà acl[]
o il
parametro di query predefinedAcl
in una richiesta patch o update.
Per la definizione della proprietà ACL dell'oggetto, consulta la risorsa ObjectAccessControls
.
Definisci gli ACL in un file JSON.
Ad esempio, se l'ACL concede ai proprietari del progetto
867489160491
e all'utentejane@gmail.com
l'autorizzazioneOWNER
, oltre a concedere ai membri dell'autorizzazioneREADER
del gruppogs-announce
, potresti avere un file denominatoacls.json
con i seguenti contenuti:{ "acl": [ { "entity": "project-owners-867489160491", "role": "OWNER", "projectTeam": { "projectNumber": "867489160491", "team": "owners" } }, { "entity": "user-jane@gmail.com", "role": "OWNER", "email": "jane@gmail.com" }, { "entity": "group-gs-announce@googlegroups.com", "role": "READER", "email": "gs-announce@googlegroups.com" } ] }
Invia una richiesta patch con il file JSON e specifica l'oggetto su cui impostare gli ACL.
Ad esempio, il seguente comando cURL applica un payload JSON dal documento acls.json
a un oggetto denominato paris.jpg
nel bucket example-travel-maps
:
curl -X PATCH --data @acls.json -H "Content-Type: application/json" \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://storage.googleapis.com/storage/v1/b/example-travel-maps/o/paris.jpg
API XML
Nell'API XML, puoi utilizzare gli ACL in formato XML. Devi collegare un documento XML al corpo delle richieste per modificare gli ACL di bucket e oggetti. Quando ricevi ACL di bucket e oggetti, viene restituito un documento XML. Il documento XML contiene le singole voci ACL di bucket o oggetti.
Dopo aver creato un bucket con una richiesta Bucket
PUT
, utilizza una seconda richiesta di bucket PUT con il parametro?acl
per modificare l'ACL del bucket.Dopo aver caricato un oggetto con una richiesta Oggetto
PUT
, modifica l'ACL con un'altra richiesta PUT utilizzando il parametro?acl
o l'intestazione della richiestax-googl-acl
.
Ad esempio, il seguente comando cURL applica un payload XML dal documento acls.xml
a un oggetto denominato paris.jpg
nel bucket example-travel-maps
:
curl -X PUT --data-binary @acls.xml \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://storage.googleapis.com/example-travel-maps/paris.jpg?acl
Utilizza la seguente sintassi ACL per il documento XML:
Elemento | Descrizione |
---|---|
AccessControlList |
Contenitore per gli elementi Entries e Owner . |
Owner |
Contenitore per gli elementi DisplayName e ID . Questo elemento non è obbligatorio per gli oggetti, poiché questi sono sempre di proprietà dell'utente che lo ha caricato. Questo elemento viene utilizzato quando utilizzi la sintassi ACL di Amazon S3 in uno scenario di migrazione. Amazon Simple Storage ServiceDKIM e Amazon S3⎓ sono marchi di Amazon.com, Inc. o delle sue società consociate negli Stati Uniti e/o in altri paesi. |
ID |
ID Google Cloud Storage del proprietario del bucket. |
DisplayName |
Attualmente non implementata. Il valore è sempre una stringa vuota. |
Entries |
Contenitore per zero o più elementi Entry . |
Entry |
Contenitore per gli elementi Scope e Permission . Un elemento Entry deve contenere solo un elemento Scope e un elemento Permission . |
Scope |
Contenitore di un elemento ID , EmailAddress o Domain che definisce l'ambito ACL. Questo elemento deve avere un attributo type che contiene uno dei seguenti valori: UserByID , UserByEmail , GroupByID , GroupByEmail , GroupByDomain , AllUsers o AllAuthenticatedUsers . |
ID |
Identificatore del beneficiario quando la voce di autorizzazione è specificata tramite ID. |
EmailAddress |
L'identificatore email del beneficiario quando viene specificata l'autorizzazione via email. |
Domain |
L'identificatore di dominio del beneficiario quando la voce dell'autorizzazione è specificata in base al dominio. |
Name |
Elemento facoltativo che può essere specificato o aggiunto automaticamente se l'ambito è UserByEmail o GroupByEmail . |
Permission |
L'autorizzazione ha concesso READ , WRITE o FULL_CONTROL . |
Quando si utilizzano ACL utilizzando l'API XML:
- Puoi utilizzare solo il formato XML descritto sopra.
Non puoi impostare ambiti duplicati.
Il tuo XML ACL può contenere molte voci, ma non puoi avere voci con ambiti duplicati. Ad esempio, non puoi avere due voci con lo stesso elemento di ambito di
jane@example.com
.
L'esempio seguente mostra diverse voci ACL dei bucket:
<?xml version="1.0" encoding="UTF-8"?> <AccessControlList> <Owner> <ID>00b4903a9721...</ID> </Owner> <Entries> <Entry> <Scope type="GroupById"> <ID>00b4903a9722...</ID> </Scope> <Permission>FULL_CONTROL</Permission> </Entry> <Entry> <Scope type="GroupByDomain"> <Domain>example.com</Domain> </Scope> <Permission>READ</Permission> </Entry> <Entry> <Scope type="GroupByEmail"> <EmailAddress>gs-announce@googlegroups.com</EmailAddress> </Scope> <Permission>READ</Permission> </Entry> <Entry> <Scope type="UserByEmail"> <EmailAddress>jane@gmail.com</EmailAddress> <Name>jane</Name> </Scope> <Permission>READ</Permission> </Entry> <Entry> <Scope type="AllUsers"/> <Permission>READ</Permission> </Entry> <Entry> <Scope type="AllAuthenticatedUsers"/> <Permission>READ</Permission> </Entry> </Entries> </AccessControlList>
Imposta l'elemento Name nel file XML ACL
Quando recuperi un ACL da un bucket o da un oggetto, potresti notare che ad alcune voci viene aggiunto un elemento <Name>
aggiuntivo. Ad esempio, potresti visualizzare una voce simile alla seguente:
<Entry> <Scope type="UserByEmail"> <EmailAddress>jane@gmail.com</EmailAddress> <Name>Jane</Name> </Scope> <Permission>FULL_CONTROL</Permission> </Entry>
Questi elementi <Name>
facoltativi vengono completati in due circostanze:
Quando gli ACL del bucket o dell'oggetto includono
<Name>
come elemento.Quando imposti gli ACL, puoi scegliere di includere l'elemento
<Name>
con le voci ACL. Se fornisci qualsiasi valore nell'elemento<Name>
, Cloud Storage li memorizzerà fino a quando l'ACL non viene rimosso o sostituito. Questo approccio può essere utile se utilizzi identificatori non facilmente identificabili, come gli ID di Google Cloud Storage.Quando un ambito
UserByEmail
oGroupByEmail
contiene un profilo Google pubblico.Se utilizzi uno di questi ambiti ma non fornisci un elemento
<Name>
, Cloud Storage controlla se l'utente o il gruppo Google associato all'indirizzo email ha un profilo Google pubblico con un nome pubblico. In tal caso, Cloud Storage completa automaticamente l'elemento<Name>
con il nome pubblico.
Applicare un ACL predefinito
Anziché specificare l'intero ACL una voce alla volta come mostrato sopra, puoi utilizzare un ACL predefinito, che applicherà automaticamente una serie di voci personalizzate per uno scenario specifico. Puoi applicare un ACL predefinito a un bucket o a un oggetto utilizzando Google Cloud CLI, l'API JSON o l'API XML.
Su nuovi oggetti
Per applicare un ACL predefinito a un oggetto durante il caricamento dell'oggetto:
Console
Non puoi applicare un ACL predefinito utilizzando la console Google Cloud. Usa invece
gcloud storage
.
Riga di comando
Utilizza il comando gcloud storage cp
con il flag --predefined-acl
:
gcloud storage cp OBJECT gs://BUCKET_NAME --predefined-acl=PREDEFINED_ACL
Ad esempio, per applicare l'ACL predefinito bucketOwnerRead
durante il caricamento di un oggetto paris.jpg
in un bucket example-travel-maps
:
gcloud storage cp paris.jpg gs://example-travel-maps --predefined-acl=bucketOwnerRead
API REST
API JSON
Utilizza il parametro della stringa di query predefinedAcl
in una richiesta insert per applicare l'ACL predefinito.
Ad esempio, per applicare l'ACL predefinito bucketOwnerRead
durante il caricamento di un oggetto paris.jpg
in un bucket example-travel-maps
:
curl -X POST --data-binary @paris.jpg -H "Content-Type: image/jpeg" \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/upload/storage/v1/b/example-travel-maps/o?name=paris.jpg&predefinedAcl=bucketOwnerRead"
API XML
Utilizza l'intestazione x-goog-acl
in una richiesta Metti oggetto per applicare l'ACL predefinito.
Ad esempio, per applicare l'ACL predefinito bucket-owner-read
durante il caricamento di un oggetto paris.jpg
in un bucket example-travel-maps
:
curl -X PUT --upload-file paris.jpg -H "x-goog-acl: bucket-owner-read" \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://storage.googleapis.com/example-travel-maps/paris.jpg
Su bucket o oggetti esistenti
Puoi anche applicare un ACL predefinito a un bucket o a un oggetto esistente, utile se vuoi passare da un ACL predefinito a un altro o se vuoi aggiornare gli ACL personalizzati a un ACL predefinito.
Console
Non puoi applicare un ACL predefinito utilizzando la console Google Cloud. Usa invece
gcloud storage
.
Riga di comando
Utilizza il comando objects update
con il flag --predefined-acl
:
gcloud storage objects update gs://BUCKET_NAME/OBJECT_NAME --predefined-acl=PREDEFINED_ACL_NAME
Ad esempio, per applicare l'ACL predefinito private
all'oggetto paris.jpg
nel bucket example-travel-maps
:
gcloud storage objects update gs://example-travel-maps/paris.jpg --predefined-acl=private
API REST
API JSON
Utilizza il parametro della stringa di query predefinedAcl
e specifica una proprietà acl
vuota in una richiesta patch per applicare l'ACL predefinito.
Ad esempio, per applicare l'ACL predefinito private
all'oggetto paris.jpg
nel bucket example-travel-maps
:
curl -X PATCH --data '{"acl": []}' -H "Content-Type: application/json" \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://storage.googleapis.com/storage/v1/b/example-travel-maps/o/paris.jpg?predefinedAcl=private
API XML
Utilizza l'intestazione x-goog-acl
con il parametro della stringa di query acl
in una richiesta Put Object, ma non includere un documento XML nella richiesta.
Ad esempio, per applicare l'ACL predefinito private
all'oggetto paris.jpg
nel bucket example-travel-maps
:
curl -X PUT -H "Content-Length: 0" \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "x-goog-acl: private" \ https://storage.googleapis.com/example-travel-maps/paris.jpg?acl
Imposta ACL degli oggetti predefiniti
Per evitare di impostare ACL ogni volta che crei un nuovo oggetto, puoi impostare un ACL degli oggetti predefinito in un bucket. Dopo aver eseguito questa operazione, a ogni nuovo oggetto aggiunto al bucket a cui non è esplicitamente applicato un ACL verrà applicato il valore predefinito. Ad esempio, potresti voler specificare che solo un determinato gruppo di utenti abbia accesso alla maggior parte degli oggetti in un determinato bucket. Puoi modificare l'ACL predefinito degli oggetti e quindi aggiungere oggetti al bucket. A questi oggetti aggiunti viene applicato automaticamente l'ACL predefinito dell'oggetto specificato. Tuttavia, puoi assegnare ACL diversi a oggetti specifici, nel qual caso a questi oggetti non è applicato l'ACL predefinito.
Per visualizzare e modificare l'ACL predefinito degli oggetti per un bucket:
Console
Non puoi impostare ACL degli oggetti predefiniti utilizzando la console Google Cloud. Usa invece
gcloud storage
.
Riga di comando
Utilizza il comando
buckets describe
con il flag--format
per recuperare l'ACL dell'oggetto predefinito per il bucket:gcloud storage buckets describe gs://BUCKET_NAME --format="default(default_acl)"
Dove
BUCKET_NAME
è il nome del bucket di cui vuoi visualizzare l'ACL dell'oggetto predefinito. Ad esempio,my-bucket
.Utilizza il comando
buckets update
con il flag desiderato per modificare l'ACL dell'oggetto predefinito per il bucket:gcloud storage buckets update gs://BUCKET_NAME FLAG
Dove:
BUCKET_NAME
è il nome del bucket di cui vuoi modificare l'ACL dell'oggetto predefinito. Ad esempio,my-bucket
.FLAG
è uno dei seguenti:--add-default-object-acl-grant
e una concessione che vuoi aggiungere all'ACL complessivo dell'oggetto predefinito per il bucket.--default-object-acl-file
e il percorso di un file locale che definisce un nuovo ACL dell'oggetto predefinito per il bucket.--predefined-default-object-acl
e il nome di un ACL degli oggetti predefinito con cui vuoi sostituire l'ACL degli oggetti predefiniti esistenti per il bucket.--remove-default-object-acl-grant
e un'entità che vuoi rimuovere dall'ACL generale dell'oggetto predefinito per il bucket.
Librerie client
C++
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C++ di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL dell'oggetto predefinito a un bucket:
L'esempio seguente elimina un ACL di oggetto predefinito da un bucket:
C#
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C# di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene stampato l'ACL dell'oggetto predefinito per un bucket:
Nell'esempio seguente viene aggiunto un ACL dell'oggetto predefinito a un bucket:
L'esempio seguente elimina un ACL di oggetto predefinito da un bucket:
Go
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Go di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL dell'oggetto predefinito a un bucket:
L'esempio seguente elimina un ACL di oggetto predefinito da un bucket:
Java
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL dell'oggetto predefinito a un bucket:
L'esempio seguente elimina un ACL di oggetto predefinito da un bucket:
Node.js
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Node.js di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL dell'oggetto predefinito a un bucket:
L'esempio seguente elimina un ACL di oggetto predefinito da un bucket:
PHP
Per maggiori informazioni, consulta la documentazione di riferimento dell'API PHP di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL dell'oggetto predefinito a un bucket:
L'esempio seguente elimina un ACL di oggetto predefinito da un bucket:
Python
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL dell'oggetto predefinito a un bucket:
L'esempio seguente elimina un ACL di oggetto predefinito da un bucket:
Ruby
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Ruby di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene aggiunto un ACL dell'oggetto predefinito a un bucket:
L'esempio seguente elimina un ACL di oggetto predefinito da un bucket:
API REST
API JSON
Recupera l'ACL dell'oggetto predefinito con una richiesta GET. Ad esempio:
curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?projection=full
Utilizza una richiesta patch per sostituire l'ACL dell'oggetto predefinito. Ad esempio, la seguente richiesta sostituisce l'ACL dell'oggetto predefinito con l'ACL specificato in
defacls.json
per un bucketexample-travel-maps
:curl -X PATCH --data @defacls.json -H "Content-Type: application/json" -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://storage.googleapis.com/storage/v1/b/example-travel-maps
Esempio di
defacls.json
:{ "defaultObjectAcl": [ { "email": "jane@gmail.com", "entity": "user-jane@gmail.com", "role": "READER" } ] }
API XML
Recupera l'ACL predefinito degli oggetti con una richiesta
GET
con ambito al tuo bucket e il parametro?defaultObjectAcl
. Ad esempio:curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://storage.googleapis.com/BUCKET_NAME?defaultObjectAcl
Utilizza una richiesta
PUT
con ambito al tuo bucket con il parametro?defaultObjectAcl
per sostituire l'ACL dell'oggetto predefinito con l'ACL specificato inacls.xml
. Ad esempio:curl -X PUT --data-binary @acls.xml -H "Authorization: Bearer $(gcloud auth print-access-token)" \ http://storage.googleapis.com/BUCKET_NAME?defaultObjectAcl
Esempio di
acls.xml
:<AccessControlList> <Entries> <Entry> <Permission>
FULL_CONTROL
</Permission> <Scope type="GroupByEmail"> <EmailAddress>travel-companions@googlegroups.com</EmailAddress> </Scope> </Entry> </Entries> </AccessControlList>
La sintassi degli ACL è discussa in Impostazione degli ACL. Puoi inoltre specificare un ACL predefinito come ACL dell'oggetto predefinito.
Per impostare l'ACL dell'oggetto predefinito per un bucket su un ACL predefinito:
Console
Non puoi impostare ACL degli oggetti predefiniti utilizzando la console Google Cloud. Usa invece
gcloud storage
.
Riga di comando
Utilizza il comando buckets update
con il flag --predefined-default-object-acl
:
gcloud storage buckets update gs://BUCKET_NAME --predefined-default-object-acl=PREDEFINED_ACL
Dove:
BUCKET_NAME
è il nome del bucket di cui vuoi modificare l'ACL dell'oggetto predefinito. Ad esempio,my-bucket
.PREDEFINED_ACL
è il nome di un ACL predefinito valido. Ad esempio,projectPrivate
.
API REST
API JSON
Utilizza una richiesta PUT e il parametro predefinedAcl
.
Ad esempio:
curl -X PUT -H "Content-Length: 0" -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?predefinedAcl=private
API XML
Utilizza una richiesta PUT
con l'ambito del tuo bucket con il parametro ?defaultObjectAcl
e l'intestazione x-goog-acl
.
Ad esempio:
curl -X PUT -H "x-goog-acl: project-private" -H "Content-Length: 0" -H "Authorization: Bearer $(gcloud auth print-access-token)" \ http://storage.googleapis.com/BUCKET_NAME?defaultObjectAcl
ACL degli oggetti predefiniti per i bucket appena creati:
I seguenti esempi mostrano gli ACL degli oggetti predefiniti che si applicano automaticamente ai bucket appena creati quando non specifichi gli ACL degli oggetti predefiniti come parte della richiesta. Per verificare se gli ACL degli oggetti predefiniti del bucket sono stati modificati, confronta gli ACL degli oggetti predefiniti attuali del tuo bucket con gli esempi riportati di seguito.
Console
Non puoi utilizzare gli ACL degli oggetti predefiniti utilizzando la console Google Cloud.
Usa invece il criterio gcloud storage
.
Riga di comando
Nell'esempio seguente, l'ID progetto è "123412341234"; l'ID progetto sarà diverso.
defaultObjectAcl: – entity: project-owners-123412341234 etag: CAE= kind: storage#objectAccessControl projectTeam: projectNumber: '123412341234' team: owners role: OWNER – entity: project-editors-123412341234 etag: CAE= kind: storage#objectAccessControl projectTeam: projectNumber: '123412341234' team: editors role: OWNER – entity: project-viewers-123412341234 etag: CAE= kind: storage#objectAccessControl projectTeam: projectNumber: '123412341234' team: viewers role: READER
API REST
API JSON
Nell'esempio seguente, l'ID progetto è "123412341234"; l'ID progetto sarà diverso.
"defaultObjectAcl": [ { "kind": "storage#objectAccessControl", "entity": "project-owners-123412341234", "role": "OWNER", "projectTeam": { "projectNumber": "123412341234", "team": "owners" } }, { "kind": "storage#objectAccessControl", "entity": "project-editors-123412341234", "role": "OWNER", "projectTeam": { "projectNumber": "123412341234", "team": "editors" } }, { "kind": "storage#objectAccessControl", "entity": "project-viewers-123412341234", "role": "READER", "projectTeam": { "projectNumber": "123412341234", "team": "viewers" } } ]
API XML
Nell'esempio seguente, gli ID del ruolo del progetto iniziano con "00b4903a97..."; gli ID progetto saranno diversi.
<?xml version='1.0' encoding='UTF-8'?> <AccessControlList> <Entries> <Entry> <Scope type='GroupById'> <ID>00b4903a9721...</ID> </Scope> <Permission>FULL_CONTROL</Permission> </Entry> <Entry> <Scope type='GroupById'> <ID>00b4903a9722...</ID> </Scope> <Permission>FULL_CONTROL</Permission> </Entry> <Entry> <Scope type='GroupById'> <ID>00b4903a9723...</ID> </Scope> <Permission>READ</Permission> </Entry> </Entries> </AccessControlList>
Tieni presente che l'ACL dell'oggetto predefinito per un bucket appena creato è equivalente all'ACL projectPrivate
predefinito.
Recupero degli ACL
Per ottenere l'ACL di una risorsa esistente:
Console
Vai al browser Cloud Storage nella console Google Cloud.
Vai al browser di Cloud StorageVai all'oggetto di cui vuoi visualizzare l'ACL.
Scegli Modifica accesso dal menu a discesa per l'oggetto.
Dovresti visualizzare una finestra di dialogo delle autorizzazioni con le autorizzazioni dell'oggetto.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta Risoluzione dei problemi.
Riga di comando
Utilizza il comando
objects describe
con il flag--format
per recuperare l'ACL di un oggetto:gcloud storage objects describe gs://BUCKET_NAME/OBJECT_NAME --format="default(acl)"
Dove:
BUCKET_NAME
è il nome del bucket che contiene l'oggetto di cui vuoi visualizzare l'ACL. Ad esempio,my-bucket
.OBJECT_NAME
è il nome dell'oggetto di cui vuoi visualizzare l'ACL. Ad esempio,paris.jpg
.
Librerie client
C++
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C++ di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene recuperato un ACL di un oggetto:
C#
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C# di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene recuperato un ACL di un oggetto:
Go
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Go di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene recuperato un ACL di un oggetto:
Java
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene recuperato un ACL di un oggetto:
Node.js
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Node.js di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene recuperato un ACL di un oggetto:
PHP
Per maggiori informazioni, consulta la documentazione di riferimento dell'API PHP di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene recuperato un ACL di un oggetto:
Python
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene recuperato un ACL di un oggetto:
Ruby
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Ruby di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Nell'esempio seguente viene recuperato un ACL di un oggetto:
API REST
API JSON
Assicurati di disporre dell'autorizzazione
OWNER
per l'oggetto.Recupera l'ACL dell'oggetto con una richiesta
GET
.L'ACL dell'oggetto viene restituito in formato JSON, associato al corpo della risposta.
Ad esempio, per restituire l'ACL per l'oggetto paris.jpg
nel bucket example-travel-maps
:
curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://storage.googleapis.com/storage/v1/b/example-travel-maps/o/paris.jpg?projection=full
Dovresti visualizzare una risposta simile al seguente:
{ "kind": "storage#object", "id": "example-travel-maps/paris.jpg/1412805837131000", "selfLink": "https://www.googleapis.com/storage/v1/b/example-travel-maps/o/paris.jpg", "name": "paris.jpg", "bucket": "example-travel-maps", ... "acl": [ { ... "entity": "project-owners-867489160491", "role": "OWNER", "projectTeam": { "projectNumber": "867489160491", "team": "owners" }, ... }, { ... "entity": "user-jane@gmail.com", "role": "OWNER", "email": "jane@gmail.com", ... }, { ... "entity": "group-gs-announce@googlegroups.com", "role": "READER", "email": "gs-announce@googlegroups.com", ... } ], "owner": { "entity": "user-jane@gmail.com" }, ... }
Puoi anche usare il metodo della risorsa objectAccessControls
GET
per restituire singole voci nell'ACL di un oggetto.
API XML
Assicurati di disporre dell'autorizzazione
FULL_CONTROL
per il bucket o l'oggetto.Recupera l'ACL del bucket o dell'oggetto utilizzando il parametro della stringa di query
acl
in una richiesta GET Object.
Gli ACL sono descritti in XML, allegati al corpo della risposta.
Ad esempio, per restituire l'ACL per l'oggetto paris.jpg
nel bucket example-travel-maps
:
curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ https://storage.googleapis.com/example-travel-maps/paris.jpg?acl
Dovresti visualizzare una risposta simile al seguente:
<?xml version="1.0" encoding="UTF-8"?> <AccessControlList> <Owner> <ID>84fac329bceSAMPLE777d5d22b8SAMPLE77d85ac2SAMPLE2dfcf7c4adf34da46</ID> <Name>Owner Name</Name> </Owner> <Entries> <Entry> <Scope type="UserById"> <ID>84fac329bceSAMPLE777d5d22b8SAMPLE77d85ac2SAMPLE2dfcf7c4adf34da46</ID> <Name>Name</Name> </Scope> <Permission>FULL_CONTROL</Permission> </Entry> <Entry> <Scope type="UserByEmail"> <EmailAddress>jane@gmail.com</EmailAddress> <Name>Jane</Name> </Scope> <Permission>FULL_CONTROL</Permission> </Entry> <Entry> <Scope type="GroupByEmail"> <EmailAddress>gs-announce@googlegroups.com</EmailAddress> </Scope> <Permission>READ</Permission> </Entry> </Entries> </AccessControlList>
Puoi anche utilizzare il metodo JSON GET
della risorsa ObjectAccessControls
per restituire una voce ACL specifica.
Passaggi successivi
- Scopri di più sugli ACL.
- Scopri come semplificare il controllo dell'accesso utilizzando un accesso uniforme a livello di bucket.
- Scopri le best practice per l'utilizzo degli ACL.