创建和管理访问控制列表 (ACL)

概览

本页面介绍如何使用访问控制列表 (ACL) 控制存储桶和对象的访问权限。ACL 是一种机制，可用于定义谁有权访问您的存储桶和对象，以及他们具有何种级别的访问权限。

请参阅 ACL 概览，详细了解您是否应使用 ACL 来控制对资源的访问。

准备工作

如需获得创建和管理 ACL 所需的权限，请让您的管理员向您授予包含要为其创建和管理 ACL 的对象的存储桶的 Storage Admin (roles/storage.admin) IAM 角色。

设置或修改 ACL

控制台

转到 Google Cloud 控制台中的 Cloud Storage 浏览器。
转到 Cloud Storage 浏览器
点击您要修改其 ACL 的对象的存储桶的名称。
点击对象的名称。
点击修改访问权限。

此时将打开一个权限对话框，其中包含该对象的当前 ACL。
点击 + 添加条目。
选择要向其授予权限的实体类型。

实体指定了获得权限的对象的类型（例如，用户或群组）。如需查看受支持的实体值列表，请参阅访问控制范围。
在名称中输入值。

名称标识了特定的用户、群组或其他实体类型。如需查看受支持的名称值列表，请参阅访问控制范围。

实体和名称共同定义了权限适用的对象。
在访问权限中选择一个值。

访问权限定义了您要在对象上设置的权限。如需查看受支持的访问权限值列表，请参阅访问控制权限。
点击保存。

如需了解如何在 Google Cloud 控制台中获取失败的 Cloud Storage 操作的详细错误信息，请参阅问题排查。

命令行

如需添加、修改或移除对象上的单个授权，请使用带有所需标志的 objects update 命令：

gcloud storage objects update gs://BUCKET_NAME/OBJECT_NAME FLAG

其中：

BUCKET_NAME 是包含所修改对象的存储桶的名称。例如 example-travel-maps。
OBJECT_NAME 是要修改的对象的名称。例如 paris.jpg。
FLAG 是以下值之一：
- --add-acl-grant 以及要添加或修改的授权。例如 --add-acl-grant=entity=user-jane@gmail.com,role=READER。
- --remove-acl-grant，以及要移除其访问权限的实体。例如 --remove-acl-grant=user-jane@gmail.com。

如需替换对象的所有 ACL，请执行以下操作：

在 JSON 或 YAML 格式的文件中定义 ACL。
使用带有 --acl-file 标志的 objects update 命令：
```
gcloud storage objects update gs://BUCKET_NAME/OBJECT_NAME --acl-file=FILE_LOCATION
```
其中：
- BUCKET_NAME 是包含 ACL 所适用对象的存储桶的名称。例如 example-travel-maps。
- OBJECT_NAME 是 ACL 所适用对象的名称。例如 paris.jpg。
- FILE_LOCATION 是包含您定义的 ACL 的文件的本地路径。例如 Desktop/acls.json。

示例 ACL 文件的内容如下所示。这些 ACL 向项目 867489160491 的所有者以及用户 jane@gmail.com 授予对象 paris.jpg 的 OWNER 权限，以及向 gs-announce 群组成员授予此对象的 READER 权限：

[
  {
    "entity": "project-owners-867489160491",
    "role": "OWNER",
    "projectTeam": {
      "projectNumber": "867489160491",
      "team": "owners"
    },
  },
  {
    "entity": "user-jane@gmail.com",
    "email": "jane@gmail.com",
    "role": "OWNER"
  },
  {
    "entity": "group-gs-announce@googlegroups.com",
    "email": "gs-announce@googlegroups.com",
    "role": "READER"
  }
]

客户端库

C++

如需了解详情，请参阅 Cloud Storage C++ API 参考文档。

如需向 Cloud Storage 进行身份验证，请设置应用默认凭据。如需了解详情，请参阅为本地开发环境设置身份验证。

以下示例将 ACL 添加到对象中：

元素	说明
`AccessControlList`	`Entries` 和 `Owner` 元素的容器。
`Owner`	`DisplayName` 和 `ID` 元素的容器。此元素对于对象而言并不是必需的，因为对象的 Owner 始终是上传该对象的用户。在迁移情景中使用 Amazon S3 ACL 语法时，您将使用此元素。 Amazon Simple Storage Service 和 Amazon S3 是 Amazon.com, Inc. 或其关联公司在美国和/或其他国家/地区的商标。
`ID`	存储桶所有者的 Google Cloud Storage ID。
`DisplayName`	目前尚未实现。该值始终为空字符串。
`Entries`	零个或零个以上 `Entry` 元素的容器。
`Entry`	`Scope` 和 `Permission` 元素的容器。`Entry` 只能包含一个 `Scope` 和一个 `Permission` 元素。
`Scope`	`ID`、`EmailAddress` 或 `Domain` 元素的容器，用于定义 ACL 范围。此元素必须具有一个 `type` 特性 (Attribute)，包含下列中的一个值：`UserByID`、`UserByEmail`、`GroupByID`、`GroupByEmail`、`GroupByDomain`、`AllUsers` 或 `AllAuthenticatedUsers`。
`ID`	被授予方的标识符（当权限条目由 ID 指定时）。
`EmailAddress`	被授予方的电子邮件标识符（当权限条目由电子邮件指定时）。
`Domain`	被授予方的网域标识符（当权限条目由网域指定时）。
`Name`	可选元素（您可以指定此元素，或者，如果范围是 `UserByEmail` 或 `GroupByEmail`，则可以自动添加此元素）。
`Permission`	用于授予 `READ`、`WRITE` 或 `FULL_CONTROL` 访问权限的权限。

创建和管理访问控制列表 (ACL)

准备工作

设置或修改 ACL

控制台

命令行

客户端库

C++

C#

Go

Java

Node.js

PHP

Python

Ruby

REST API

JSON API

XML API

设置 ACL XML 中的 Name 元素

应用预定义的 ACL

对于新的对象

控制台

命令行

REST API

JSON API

XML API

对于现有存储桶或对象

控制台

命令行

REST API

JSON API

XML API

设置默认对象 ACL

控制台

命令行

客户端库

C++

C#

Go

Java

Node.js

PHP

Python

Ruby

REST API

JSON API

XML API

控制台

命令行

REST API

JSON API

XML API

控制台

命令行

REST API

JSON API

XML API

检索 ACL

控制台

命令行

客户端库

C++

C#

Go

Java

Node.js

PHP

Python

Ruby

REST API

JSON API

XML API

后续步骤