Elenchi di controllo dell'accesso (ACL)

Utilizzo

Questa pagina fornisce una panoramica degli elenchi di controllo dell'accesso (ACL). Per scoprire altri modi per controllare l'accesso a bucket e oggetti, consulta la Panoramica del controllo dell'accesso.

Dovresti utilizzare gli elenchi di controllo dell'accesso?

Nella maggior parte dei casi, dovresti evitare di utilizzare gli ACL e attivare l'accesso uniforme a livello di bucket per i tuoi bucket, in modo da impedire l'utilizzo degli ACL:

  • Gli ACL non possono essere utilizzati esclusivamente per controllare l'accesso alle risorse Google Cloud, perché non possono essere impostati sul progetto o sulle risorse complessive al di fuori di Cloud Storage.
  • L'attivazione dell'accesso uniforme a livello di bucket crea un'interfaccia di controllo dell'accesso dell'accesso più semplice e consente di utilizzare funzionalità aggiuntive di Google Cloud. Per ulteriori informazioni, consulta se devi utilizzare l'accesso uniforme a livello di bucket.
  • Il criterio dell'organizzazione relativo alla condivisione limitata per i domini e i criteri dell'organizzazione personalizzati non impediscono l'accesso concesso dalle ACL, potenzialmente conducendo ad accesso indesiderato.
  • Quando utilizzi le ACL in progetti che hanno condizioni IAM impostate a livello di progetto o superiore, possono verificarsi comportamenti e accessi imprevisti.

Ti consigliamo di utilizzare le ACL nei seguenti casi:

  • Devi personalizzare l'accesso ai singoli oggetti all'interno di un bucket, ad esempio se vuoi che l'utente che ha caricato un oggetto abbia il controllo completo su quell'oggetto, ma meno accesso ad altri oggetti nel bucket.
  • Utilizzi esclusivamente l'API XML o hai bisogno di interoperabilità con Amazon S3.

Identity and Access Management (IAM) e gli ACL lavorano in tandem per concedere l'accesso ai bucket e agli oggetti, il che significa che un utente ha bisogno solo dell'autorizzazione pertinente di uno di questi sistemi per accedere a un bucket o a un oggetto. In generale, le autorizzazioni concesse dai criteri IAM non vengono visualizzate negli ACL e le autorizzazioni concesse dagli ACL non vengono visualizzate nei criteri IAM. Per ulteriori informazioni, consulta la sezione Relazione tra IAM e ACL.

Che cos'è un elenco di controllo dell'accesso?

Un elenco di controllo dell'accesso (ACL) è un meccanismo che puoi utilizzare per definire chi ha accesso ai tuoi bucket e ai tuoi oggetti, nonché il livello di accesso. In Cloud Storage, puoi applicare gli ACL a singoli bucket e oggetti. Ogni ACL è composta da una o più voci. Una voce concede a un utente (o gruppo) specifico la possibilità di eseguire azioni specifiche. Ogni voce è composta da due informazioni:

  • Un'autorizzazione, che definisce quali azioni possono essere eseguite (ad esempio, lettura o scrittura).

  • Un ambito (a volte chiamato ceduto), che definisce chi può eseguire le azioni specificate (ad esempio, un utente o un gruppo di utenti specifico).

Ad esempio, supponiamo che tu abbia un bucket a cui vuoi che chiunque possa accedere per accedere agli oggetti, ma che tu voglia anche che il tuo collaboratore possa aggiungere o rimuovere oggetti dal bucket. In questo caso, l'ACL sarà composta da due voci:

  • In una voce, concedi l'autorizzazione READER a un ambito di allUsers.

  • Nell'altra voce, concedi l'autorizzazione WRITER all'ambito del collaboratore (esistono diversi modi per specificare questa persona, ad esempio tramite il suo indirizzo email).

Il numero massimo di voci ACL che puoi creare per un bucket o un oggetto è 100. Quando l'ambito dell'elemento è un gruppo o un dominio, viene conteggiato come una voce ACL indipendentemente dal numero di utenti nel gruppo o nel dominio.

Quando un utente richiede l'accesso a un bucket o a un oggetto, il sistema Cloud Storage legge l'ACL del bucket o dell'oggetto e determina se consentire o rifiutare la richiesta di accesso. Se l'ACL concede all'utente l'autorizzazione per l'operazione richiesta, la richiesta è consentita. Se l'ACL non concede all'utente l'autorizzazione per l'operazione richiesta, la richiesta non va a buon fine e viene restituito un errore 403 Forbidden.

Tieni presente che, sebbene le ACL possano essere utilizzate per gestire la maggior parte delle azioni che coinvolgono bucket e oggetti, la possibilità di creare un bucket deriva dall'avere l'autorizzazione del progetto appropriata.

Autorizzazioni

Le autorizzazioni descrivono cosa è possibile fare con un determinato oggetto o bucket.

Cloud Storage ti consente di assegnare le seguenti autorizzazioni concentriche per i bucket e gli oggetti, come mostrato nella tabella seguente:

Bucket Oggetti
READER Consente a un utente di elencare i contenuti di un bucket. Consente inoltre a un utente di leggere i metadati del bucket, esclusi gli ACL. Consente a un utente di scaricare i dati di un oggetto.
WRITER Conferisce a un utente tutto l'accesso concesso dall'autorizzazione READER. Inoltre, consente a un utente di creare, sostituire ed eliminare oggetti in un bucket, inclusa la creazione di oggetti utilizzando caricamenti multiparte. N/D. Non puoi applicare questa autorizzazione agli oggetti.
OWNER Conferisce a un utente tutto l'accesso concesso dall'autorizzazione WRITER. Consente inoltre a un utente di leggere e scrivere i metadati del bucket, inclusi gli ACL, e di utilizzare i tag nel bucket. Conferisce a un utente tutto l'accesso concesso dall'autorizzazione READER. Consente inoltre a un utente di leggere e scrivere i metadati degli oggetti, inclusi gli ACL.
Predefinito Ai bucket viene applicato l'ACL predefinito project-private al momento della loro creazione. I bucket sono sempre di proprietà del gruppo project-owners. Gli oggetti hanno l'ACL predefinito project-private applicato al momento del caricamento. Gli oggetti sono sempre di proprietà dell'autore della richiesta originale che li ha caricati.

In questa pagina, in genere ci riferiamo alle autorizzazioni come READER, WRITER e OWNER, che è il modo in cui sono specificate nell'API JSON e nella console Google Cloud. Se utilizzi l'API XML, le autorizzazioni equivalenti sono READ, WRITE e FULL_CONTROL.

Ambiti

Gli ambiti specificano chi dispone di una determinata autorizzazione.

Un ACL è costituito da una o più voci, in cui ogni voce concede le autorizzazioni a un ambito. Puoi specificare un ambito ACL utilizzando una delle seguenti entità:

Ambito ("grantee") Tipi di entità Esempio
Identificatore speciale per tutte le entità Utente allUsers
Identificatore speciale per tutti gli account validi Utente allAuthenticatedUsers
Indirizzo email dell'account utente Utente collaborator@gmail.com
Indirizzo email dell'account di servizio Utente my-service-account@my-project.iam.gserviceaccount.com
Indirizzo email del gruppo Google Gruppo work-group@googlegroups.com
Valori di convenienza per i progetti Progetto owners-123456789012
Dominio Google Workspace Dominio dana@example.com
Dominio Cloud Identity Dominio dana@example.com
  • Identificatore speciale per tutte le entità:

    L'identificatore di ambito speciale allUsers rappresenta qualsiasi entità su internet. Tieni presente che, anche se questo identificatore è un tipo di entità User, quando utilizzi la console Google Cloud è etichettato come tipo di entità Public.

  • Identificatore speciale per tutti gli account validi:

    L'identificatore di ambito speciale allAuthenticatedUsers rappresenta la maggior parte degli account autenticati, inclusi gli account di servizio. Per ulteriori informazioni, consulta la panoramica di IAM. Tieni presente che, sebbene questo identificatore sia un tipo di entità User, quando utilizzi la console Google Cloud è etichettato come tipo di entità Public.

  • Indirizzo email dell'account utente:

    Ogni utente che dispone di un account utente deve avere un indirizzo email univoco associato a quell'account. Puoi specificare un ambito utilizzando qualsiasi indirizzo email associato a un account utente.

    Cloud Storage memorizza gli indirizzi email forniti nelle ACL finché le voci non vengono rimosse o sostituite. Se un utente cambia gli indirizzi email, devi aggiornare le voci ACL in modo che riflettano queste modifiche.

  • Indirizzo email dell'account di servizio:

    A ogni account di servizio è associato un indirizzo email univoco. Puoi specificare un ambito utilizzando l'indirizzo email associato all'account di servizio.

  • Indirizzo email del gruppo Google:

    Ogni gruppo Google ha un indirizzo email univoco associato al gruppo. Ad esempio, il gruppo Cloud Storage Announce ha il seguente indirizzo email: gs-announce@googlegroups.com. Puoi trovare l'indirizzo email associato a un gruppo Google facendo clic su Informazioni nella home page di ogni gruppo Google.

    Come per gli indirizzi email degli account utente, Cloud Storage memorizza gli indirizzi email dei gruppi come forniti negli ACL finché le voci non vengono rimosse. Non devi preoccuparti di aggiornare gli indirizzi email di Google Gruppi, perché sono permanenti e difficilmente possono cambiare.

  • Valori di convenienza per i progetti:

    I valori di convenienza ti consentono di concedere l'accesso collettivo a visualizzatori, editor e proprietari del tuo progetto. I valori di praticità combinano un ruolo del progetto e un numero di progetto associato. Ad esempio, nel progetto 867489160491, gli editor sono identificati come editors-867489160491. Puoi trovare il numero del progetto nella home page della console Google Cloud.

    In genere, dovresti evitare di utilizzare valori di praticità negli ambienti di produzione, perché richiedono la concessione di ruoli di base, una pratica sconsigliata negli ambienti di produzione.

  • Google Workspace o Cloud Identity:

    I clienti di Google Workspace e Cloud Identity possono associare i propri account email a un nome di dominio internet. In questo modo, ogni account email assume la forma USERNAME@YOUR_DOMAIN.com. Puoi specificare un ambito utilizzando qualsiasi nome di dominio internet associato a Google Workspace o Cloud Identity.

Autorizzazioni e ambiti concentrici

Quando specifichi gli ACL in Cloud Storage, non è necessario elencare più ambiti per concedere più autorizzazioni. Cloud Storage utilizza autorizzazioni concentriche, quindi quando concedi l'autorizzazione WRITER, concedi anche l'autorizzazione READER e se concedi l'autorizzazione OWNER, concedi anche le autorizzazioni READER e WRITER.

Quando specifichi un'ACL, la maggior parte degli strumenti ti consente di specificare più ambiti per la stessa voce. L'autorizzazione più permissiva è l'accesso concesso all'ambito. Ad esempio, se fornisci due voci per un utente, una con autorizzazione READER e una con autorizzazione WRITER su un bucket, l'utente avrà l'autorizzazione WRITER sul bucket.

Nell'API XML non è possibile fornire due voci ACL con lo stesso ambito. Ad esempio, la concessione a un utente dell'autorizzazione READ e dell'autorizzazione WRITE su un bucket genera un errore. Concedi invece all'utente l'autorizzazione WRITE, che concede anche l'autorizzazione READ.

ACL predefinite

Un ACL predefinito, a volte chiamato anche ACL predefinito, è un alias per un insieme di voci ACL specifiche che puoi utilizzare per applicare rapidamente molte voci ACL contemporaneamente a un bucket o a un oggetto.

La tabella seguente elenca gli ACL predefiniti e mostra le voci ACL applicate per ciascun ACL predefinito. Quando utilizzi la tabella di seguito, tieni presente che:

  • Il gruppo di proprietari del progetto ha la proprietà dei bucket nel progetto e l'utente che crea un oggetto ne ha la proprietà. Se un oggetto è stato creato da un utente anonimo, la proprietà dell'oggetto è del gruppo Proprietari del progetto.

  • Nella tabella vengono utilizzate le descrizioni delle autorizzazioni OWNER, WRITER e READER dell'API JSON. Gli ambiti API XML equivalenti sono FULL_CONTROL, WRITE e READ.

    API JSON/gcloud storage API XML Descrizione
    private private Conferisce al proprietario del bucket o dell'oggetto l'autorizzazione OWNER per un bucket o un oggetto.
    bucketOwnerRead bucket-owner-read Conferisce al proprietario dell'oggetto l'autorizzazione OWNER e al proprietario del bucket l'autorizzazione READER. Questo viene utilizzato solo con gli oggetti.
    bucketOwnerFullControl bucket-owner-full-control Conferisce ai proprietari di oggetti e bucket l'autorizzazione OWNER. Questo viene utilizzato solo con gli oggetti.
    projectPrivate project-private Consente al team di progetto di accedere in base ai relativi ruoli. Chiunque faccia parte del team dispone dell'autorizzazione READER. I proprietari e gli editor dei progetti dispongono dell'autorizzazione OWNER. Si tratta dell'ACL predefinita per i bucket appena creati. Si tratta anche dell'ACL predefinito per gli oggetti appena creati, a meno che l'ACL predefinito per gli oggetti per quel bucket non sia stato modificato.
    authenticatedRead authenticated-read Conferisce al proprietario del bucket o dell'oggetto l'autorizzazione OWNER e a tutti i titolari di account utente autenticati l'autorizzazione READER.
    publicRead public-read Conferisce l'autorizzazione OWNER al proprietario del bucket o dell'oggetto e l'autorizzazione READER a tutti gli utenti, sia autenticati che anonimi. Se lo applichi a un oggetto, chiunque su internet può leggerlo senza autenticarsi. Se lo applichi a un bucket, chiunque su internet può elencare gli oggetti senza autenticarsi.

    * Consulta la nota in fondo alla tabella relativa alla memorizzazione nella cache.

    publicReadWrite public-read-write Conferisce al proprietario del bucket l'autorizzazione OWNER e a tutti gli utenti, sia autenticati che anonimi, le autorizzazioni READER e WRITER. Questa ACL si applica solo ai bucket. Quando la applichi a un bucket, chiunque su internet può elencare, creare, sostituire ed eliminare oggetti senza autenticarsi.

    * Consulta la nota in fondo alla tabella relativa alla memorizzazione nella cache.

* Per impostazione predefinita, gli oggetti leggibili pubblicamente vengono pubblicati con un Cache-Control header che consente di memorizzare nella cache gli oggetti per 3600 secondi. Se devi assicurarti che gli aggiornamenti diventino visibili immediatamente, devi impostare i metadati Cache-Control per gli oggetti su Cache-Control:private, max-age=0, no-transform.

ACL predefinite

Quando vengono creati i bucket o caricati gli oggetti, se non li assegni esplicitamente a un ACL, viene assegnata l'ACL predefinita. Puoi modificare l'ACL predefinito assegnato a un oggetto. La procedura per farlo è descritta in Modificare gli ACL degli oggetti predefiniti. Tieni presente che quando modifichi l'ACL predefinito, gli ACL degli oggetti che esistono già nel bucket o nei bucket che esistono già nel progetto rimangono invariati.

ACL dei bucket predefiniti

Tutti i bucket sono di proprietà del gruppo di proprietari del progetto. Inoltre, ai proprietari del progetto viene concessa l'autorizzazione OWNER per tutti i bucket all'interno del progetto che utilizzano un'ACL predefinita.

Se crei un bucket con l'ACL predefinito, ovvero non specifichi un'ACL predefinita al momento della creazione, al bucket viene applicata l'ACL projectPrivate predefinita.

ACL dell'oggetto predefiniti

Per impostazione predefinita, chiunque disponga dell'autorizzazione OWNER o WRITER per un bucket può caricare oggetti al suo interno. Quando carichi un oggetto, puoi fornire un'ACL predefinita o non specificare alcuna ACL. Se non specifichi un ACL, Cloud Storage applica all'oggetto l'ACL predefinito per gli oggetti del bucket. Ogni bucket ha un ACL degli oggetti predefinito, che viene applicato a tutti gli oggetti caricati nel bucket senza un ACL predefinito o specificato nella richiesta (solo API JSON). Il valore iniziale per l'ACL predefinita degli oggetti di ogni bucket è projectPrivate.

In base alla modalità di caricamento degli oggetti, gli ACL degli oggetti vengono applicati di conseguenza:

  • Caricamenti autenticati

    Se effettui una richiesta autenticata per caricare un oggetto e non specifichi alcun ACL dell'oggetto al momento del caricamento, il tuo nome viene visualizzato come proprietario dell'oggetto e l'ACL projectPrivate predefinito viene applicato all'oggetto per impostazione predefinita. Ciò significa che:

    • Tu (la persona che ha caricato l'oggetto) sei indicato come proprietario dell'oggetto. La proprietà degli oggetti non può essere modificata modificando le ACL. Puoi cambiare la proprietà di un oggetto solo sostituendolo.

    • A te (proprietario dell'oggetto) è stata concessa l'autorizzazione OWNER per l'oggetto. Se tenti di concedere al proprietario un'autorizzazione inferiore a OWNER, Cloud Storage esegue automaticamente la riassegnazione dell'autorizzazione a OWNER.

    • Il gruppo di proprietari e editor di progetto dispone dell'autorizzazione OWNER sull'oggetto.

    • Il gruppo dei membri del team di progetto dispone dell'autorizzazione READER per l'oggetto.

  • Caricamenti anonimi

    Se un utente non autenticato (anonimo) carica un oggetto, cosa possibile se un bucket concede l'autorizzazione allUsers al gruppo WRITER o OWNER, alle autorizzazioni ACL del bucket predefinite viene applicato l'oggetto come descritto sopra.

    Gli utenti anonimi non possono specificare un ACL predefinito durante il caricamento degli oggetti.

Comportamento ACL

Cloud Storage ti aiuta a rispettare le best practice applicando alcune regole di modifica delle ACL, che ti impediscono di impostare ACL che rendono i dati inaccessibili:

  • Non puoi applicare un ACL che specifica un proprietario di bucket o di oggetto diverso.

    La proprietà dei bucket e degli oggetti non può essere modificata modificando gli ACL. Se applichi un nuovo ACL a un bucket o a un oggetto, assicurati che il proprietario del bucket o dell'oggetto rimanga invariato nel nuovo ACL.

  • Il proprietario del bucket o dell'oggetto ha sempre l'autorizzazione OWNER del bucket o dell'oggetto.

    Il proprietario di un bucket è il gruppo di proprietari del progetto e il proprietario di un oggetto è l'utente che lo ha caricato o il gruppo di proprietari del progetto se l'oggetto è stato caricato da un utente anonimo.

    Quando applichi una nuova ACL a un bucket o a un oggetto, Cloud Storage aggiunge rispettivamente l'autorizzazione OWNER al proprietario del bucket o dell'oggetto se ometti le concessioni. Non concede l'autorizzazione OWNER al gruppo di proprietari del progetto per un oggetto (a meno che l'oggetto non sia stato creato da un utente anonimo), quindi devi includerlo esplicitamente.

Non puoi applicare ACL che modificano la proprietà di un bucket o di un oggetto (da non confondere con l'autorizzazione OWNER). Una volta creati in Cloud Storage, la proprietà dei bucket e degli oggetti è permanente. Tuttavia, puoi cambiare efficacemente la proprietà degli oggetti (ma non dei bucket) sostituendoli. La sostituzione è essenzialmente un'operazione di eliminazione seguita immediatamente da un'operazione di caricamento. Durante un'operazione di caricamento, la persona che esegue il caricamento diventa proprietaria dell'oggetto. Tieni presente che per sostituire un oggetto, la persona che esegue la sostituzione (e acquisisce la proprietà dell'oggetto) deve disporre dell'autorizzazione WRITER o OWNER per il bucket in cui viene caricato l'oggetto.

Passaggi successivi