Questa pagina fornisce una panoramica degli elenchi di controllo dell'accesso (ACL). Per scoprire altri modi per controllare l'accesso a bucket e oggetti, consulta la Panoramica del controllo dell'accesso.
Dovresti utilizzare gli elenchi di controllo dell'accesso?
Nella maggior parte dei casi, dovresti evitare di utilizzare gli ACL e attivare l'accesso uniforme a livello di bucket per i tuoi bucket, in modo da impedire l'utilizzo degli ACL:
- Gli ACL non possono essere utilizzati esclusivamente per controllare l'accesso alle risorse Google Cloud, perché non possono essere impostati sul progetto o sulle risorse complessive al di fuori di Cloud Storage.
- L'attivazione dell'accesso uniforme a livello di bucket crea un'interfaccia di controllo dell'accesso dell'accesso più semplice e consente di utilizzare funzionalità aggiuntive di Google Cloud. Per ulteriori informazioni, consulta se devi utilizzare l'accesso uniforme a livello di bucket.
- Il criterio dell'organizzazione relativo alla condivisione limitata per i domini e i criteri dell'organizzazione personalizzati non impediscono l'accesso concesso dalle ACL, potenzialmente conducendo ad accesso indesiderato.
- Quando utilizzi le ACL in progetti che hanno condizioni IAM impostate a livello di progetto o superiore, possono verificarsi comportamenti e accessi imprevisti.
Ti consigliamo di utilizzare le ACL nei seguenti casi:
- Devi personalizzare l'accesso ai singoli oggetti all'interno di un bucket, ad esempio se vuoi che l'utente che ha caricato un oggetto abbia il controllo completo su quell'oggetto, ma meno accesso ad altri oggetti nel bucket.
- Utilizzi esclusivamente l'API XML o hai bisogno di interoperabilità con Amazon S3.
Identity and Access Management (IAM) e gli ACL lavorano in tandem per concedere l'accesso ai bucket e agli oggetti, il che significa che un utente ha bisogno solo dell'autorizzazione pertinente di uno di questi sistemi per accedere a un bucket o a un oggetto. In generale, le autorizzazioni concesse dai criteri IAM non vengono visualizzate negli ACL e le autorizzazioni concesse dagli ACL non vengono visualizzate nei criteri IAM. Per ulteriori informazioni, consulta la sezione Relazione tra IAM e ACL.
Che cos'è un elenco di controllo dell'accesso?
Un elenco di controllo dell'accesso (ACL) è un meccanismo che puoi utilizzare per definire chi ha accesso ai tuoi bucket e ai tuoi oggetti, nonché il livello di accesso. In Cloud Storage, puoi applicare gli ACL a singoli bucket e oggetti. Ogni ACL è composta da una o più voci. Una voce concede a un utente (o gruppo) specifico la possibilità di eseguire azioni specifiche. Ogni voce è composta da due informazioni:
Un'autorizzazione, che definisce quali azioni possono essere eseguite (ad esempio, lettura o scrittura).
Un ambito (a volte chiamato ceduto), che definisce chi può eseguire le azioni specificate (ad esempio, un utente o un gruppo di utenti specifico).
Ad esempio, supponiamo che tu abbia un bucket a cui vuoi che chiunque possa accedere per accedere agli oggetti, ma che tu voglia anche che il tuo collaboratore possa aggiungere o rimuovere oggetti dal bucket. In questo caso, l'ACL sarà composta da due voci:
In una voce, concedi l'autorizzazione
READER
a un ambito diallUsers
.Nell'altra voce, concedi l'autorizzazione
WRITER
all'ambito del collaboratore (esistono diversi modi per specificare questa persona, ad esempio tramite il suo indirizzo email).
Il numero massimo di voci ACL che puoi creare per un bucket o un oggetto è 100. Quando l'ambito dell'elemento è un gruppo o un dominio, viene conteggiato come una voce ACL indipendentemente dal numero di utenti nel gruppo o nel dominio.
Quando un utente richiede l'accesso a un bucket o a un oggetto, il sistema Cloud Storage legge l'ACL del bucket o dell'oggetto e determina se consentire o rifiutare la richiesta di accesso. Se l'ACL concede all'utente l'autorizzazione per l'operazione richiesta, la richiesta è consentita. Se l'ACL non concede all'utente l'autorizzazione per l'operazione richiesta, la richiesta non va a buon fine e viene restituito un errore 403 Forbidden
.
Tieni presente che, sebbene le ACL possano essere utilizzate per gestire la maggior parte delle azioni che coinvolgono bucket e oggetti, la possibilità di creare un bucket deriva dall'avere l'autorizzazione del progetto appropriata.
Autorizzazioni
Le autorizzazioni descrivono cosa è possibile fare con un determinato oggetto o bucket.
Cloud Storage ti consente di assegnare le seguenti autorizzazioni concentriche per i bucket e gli oggetti, come mostrato nella tabella seguente:
Bucket | Oggetti | |
---|---|---|
READER |
Consente a un utente di elencare i contenuti di un bucket. Consente inoltre a un utente di leggere i metadati del bucket, esclusi gli ACL. | Consente a un utente di scaricare i dati di un oggetto. |
WRITER |
Conferisce a un utente tutto l'accesso concesso dall'autorizzazione READER . Inoltre, consente a un utente di creare, sostituire ed eliminare
oggetti in un bucket, inclusa la creazione di oggetti utilizzando caricamenti
multiparte. |
N/D. Non puoi applicare questa autorizzazione agli oggetti. |
OWNER |
Conferisce a un utente tutto l'accesso concesso dall'autorizzazione WRITER . Consente inoltre a un utente di leggere e scrivere i metadati del bucket,
inclusi gli ACL, e di utilizzare i tag nel bucket. |
Conferisce a un utente tutto l'accesso concesso dall'autorizzazione READER . Consente inoltre a un utente di leggere e scrivere i metadati degli oggetti,
inclusi gli ACL. |
Predefinito | Ai bucket viene applicato l'ACL predefinito
project-private al momento della loro creazione. I bucket sono sempre di proprietà del gruppo
project-owners . |
Gli oggetti hanno l'ACL predefinito project-private applicato al momento del caricamento. Gli oggetti sono sempre di proprietà dell'autore della richiesta originale che li ha caricati. |
In questa pagina, in genere ci riferiamo alle autorizzazioni come READER
, WRITER
e OWNER
, che è il modo in cui sono specificate nell'API JSON e nella console Google Cloud. Se utilizzi l'API XML, le autorizzazioni equivalenti sono READ
, WRITE
e FULL_CONTROL
.
Ambiti
Gli ambiti specificano chi dispone di una determinata autorizzazione.
Un ACL è costituito da una o più voci, in cui ogni voce concede le autorizzazioni a un ambito. Puoi specificare un ambito ACL utilizzando una delle seguenti entità:
Ambito ("grantee") | Tipi di entità | Esempio |
---|---|---|
Identificatore speciale per tutte le entità | Utente | allUsers |
Identificatore speciale per tutti gli account validi | Utente | allAuthenticatedUsers |
Indirizzo email dell'account utente | Utente | collaborator@gmail.com |
Indirizzo email dell'account di servizio | Utente | my-service-account@my-project.iam.gserviceaccount.com |
Indirizzo email del gruppo Google | Gruppo | work-group@googlegroups.com |
Valori di convenienza per i progetti | Progetto | owners-123456789012 |
Dominio Google Workspace | Dominio | dana@example.com |
Dominio Cloud Identity | Dominio | dana@example.com |
Identificatore speciale per tutte le entità:
L'identificatore di ambito speciale
allUsers
rappresenta qualsiasi entità su internet. Tieni presente che, anche se questo identificatore è un tipo di entitàUser
, quando utilizzi la console Google Cloud è etichettato come tipo di entitàPublic
.Identificatore speciale per tutti gli account validi:
L'identificatore di ambito speciale
allAuthenticatedUsers
rappresenta la maggior parte degli account autenticati, inclusi gli account di servizio. Per ulteriori informazioni, consulta la panoramica di IAM. Tieni presente che, sebbene questo identificatore sia un tipo di entitàUser
, quando utilizzi la console Google Cloud è etichettato come tipo di entitàPublic
.Indirizzo email dell'account utente:
Ogni utente che dispone di un account utente deve avere un indirizzo email univoco associato a quell'account. Puoi specificare un ambito utilizzando qualsiasi indirizzo email associato a un account utente.
Cloud Storage memorizza gli indirizzi email forniti nelle ACL finché le voci non vengono rimosse o sostituite. Se un utente cambia gli indirizzi email, devi aggiornare le voci ACL in modo che riflettano queste modifiche.
Indirizzo email dell'account di servizio:
A ogni account di servizio è associato un indirizzo email univoco. Puoi specificare un ambito utilizzando l'indirizzo email associato all'account di servizio.
Indirizzo email del gruppo Google:
Ogni gruppo Google ha un indirizzo email univoco associato al gruppo. Ad esempio, il gruppo Cloud Storage Announce ha il seguente indirizzo email: gs-announce@googlegroups.com. Puoi trovare l'indirizzo email associato a un gruppo Google facendo clic su Informazioni nella home page di ogni gruppo Google.
Come per gli indirizzi email degli account utente, Cloud Storage memorizza gli indirizzi email dei gruppi come forniti negli ACL finché le voci non vengono rimosse. Non devi preoccuparti di aggiornare gli indirizzi email di Google Gruppi, perché sono permanenti e difficilmente possono cambiare.
Valori di convenienza per i progetti:
I valori di convenienza ti consentono di concedere l'accesso collettivo a visualizzatori, editor e proprietari del tuo progetto. I valori di praticità combinano un ruolo del progetto e un numero di progetto associato. Ad esempio, nel progetto
867489160491
, gli editor sono identificati comeeditors-867489160491
. Puoi trovare il numero del progetto nella home page della console Google Cloud.In genere, dovresti evitare di utilizzare valori di praticità negli ambienti di produzione, perché richiedono la concessione di ruoli di base, una pratica sconsigliata negli ambienti di produzione.
Google Workspace o Cloud Identity:
I clienti di Google Workspace e Cloud Identity possono associare i propri account email a un nome di dominio internet. In questo modo, ogni account email assume la forma USERNAME@YOUR_DOMAIN.com. Puoi specificare un ambito utilizzando qualsiasi nome di dominio internet associato a Google Workspace o Cloud Identity.
Autorizzazioni e ambiti concentrici
Quando specifichi gli ACL in Cloud Storage, non è necessario elencare più ambiti per concedere più autorizzazioni. Cloud Storage utilizza autorizzazioni concentriche, quindi quando concedi l'autorizzazione WRITER
, concedi anche l'autorizzazione READER
e se concedi l'autorizzazione OWNER
, concedi anche le autorizzazioni READER
e WRITER
.
Quando specifichi un'ACL, la maggior parte degli strumenti ti consente di specificare più ambiti per la stessa voce. L'autorizzazione più permissiva è
l'accesso concesso all'ambito. Ad esempio, se fornisci due voci per un
utente, una con autorizzazione READER
e una con autorizzazione WRITER
su un bucket,
l'utente avrà l'autorizzazione WRITER
sul bucket.
Nell'API XML non è possibile fornire due voci ACL con lo stesso ambito. Ad esempio, la concessione a un utente dell'autorizzazione READ
e dell'autorizzazione WRITE
su un bucket genera un errore. Concedi invece all'utente l'autorizzazione WRITE
, che concede anche l'autorizzazione READ
.
ACL predefinite
Un ACL predefinito, a volte chiamato anche ACL predefinito, è un alias per un insieme di voci ACL specifiche che puoi utilizzare per applicare rapidamente molte voci ACL contemporaneamente a un bucket o a un oggetto.
La tabella seguente elenca gli ACL predefiniti e mostra le voci ACL applicate per ciascun ACL predefinito. Quando utilizzi la tabella di seguito, tieni presente che:
Il gruppo di proprietari del progetto ha la proprietà dei bucket nel progetto e l'utente che crea un oggetto ne ha la proprietà. Se un oggetto è stato creato da un utente anonimo, la proprietà dell'oggetto è del gruppo Proprietari del progetto.
Nella tabella vengono utilizzate le descrizioni delle autorizzazioni
OWNER
,WRITER
eREADER
dell'API JSON. Gli ambiti API XML equivalenti sonoFULL_CONTROL
,WRITE
eREAD
.API JSON/ gcloud storage
API XML Descrizione private
private
Conferisce al proprietario del bucket o dell'oggetto l'autorizzazione OWNER
per un bucket o un oggetto.bucketOwnerRead
bucket-owner-read
Conferisce al proprietario dell'oggetto l'autorizzazione OWNER
e al proprietario del bucket l'autorizzazioneREADER
. Questo viene utilizzato solo con gli oggetti.bucketOwnerFullControl
bucket-owner-full-control
Conferisce ai proprietari di oggetti e bucket l'autorizzazione OWNER
. Questo viene utilizzato solo con gli oggetti.projectPrivate
project-private
Consente al team di progetto di accedere in base ai relativi ruoli. Chiunque faccia parte del team dispone dell'autorizzazione READER
. I proprietari e gli editor dei progetti dispongono dell'autorizzazioneOWNER
. Si tratta dell'ACL predefinita per i bucket appena creati. Si tratta anche dell'ACL predefinito per gli oggetti appena creati, a meno che l'ACL predefinito per gli oggetti per quel bucket non sia stato modificato.authenticatedRead
authenticated-read
Conferisce al proprietario del bucket o dell'oggetto l'autorizzazione OWNER
e a tutti i titolari di account utente autenticati l'autorizzazioneREADER
.publicRead
public-read
Conferisce l'autorizzazione OWNER
al proprietario del bucket o dell'oggetto e l'autorizzazioneREADER
a tutti gli utenti, sia autenticati che anonimi. Se lo applichi a un oggetto, chiunque su internet può leggerlo senza autenticarsi. Se lo applichi a un bucket, chiunque su internet può elencare gli oggetti senza autenticarsi.* Consulta la nota in fondo alla tabella relativa alla memorizzazione nella cache.
publicReadWrite
public-read-write
Conferisce al proprietario del bucket l'autorizzazione OWNER
e a tutti gli utenti, sia autenticati che anonimi, le autorizzazioniREADER
eWRITER
. Questa ACL si applica solo ai bucket. Quando la applichi a un bucket, chiunque su internet può elencare, creare, sostituire ed eliminare oggetti senza autenticarsi.
* Consulta la nota in fondo alla tabella relativa alla memorizzazione nella cache.
* Per impostazione predefinita, gli oggetti leggibili pubblicamente vengono pubblicati con un Cache-Control
header che consente di memorizzare nella cache gli oggetti per 3600 secondi. Se devi assicurarti che gli aggiornamenti diventino visibili immediatamente, devi impostare i metadati Cache-Control
per gli oggetti su Cache-Control:private, max-age=0, no-transform
.
ACL predefinite
Quando vengono creati i bucket o caricati gli oggetti, se non li assegni esplicitamente a un ACL, viene assegnata l'ACL predefinita. Puoi modificare l'ACL predefinito assegnato a un oggetto. La procedura per farlo è descritta in Modificare gli ACL degli oggetti predefiniti. Tieni presente che quando modifichi l'ACL predefinito, gli ACL degli oggetti che esistono già nel bucket o nei bucket che esistono già nel progetto rimangono invariati.
ACL dei bucket predefiniti
Tutti i bucket sono di proprietà del gruppo di proprietari del progetto. Inoltre, ai proprietari del progetto viene concessa l'autorizzazione OWNER
per tutti i bucket all'interno del progetto che utilizzano un'ACL predefinita.
Se crei un bucket con l'ACL predefinito, ovvero non specifichi un'ACL predefinita al momento della creazione, al bucket viene applicata l'ACL projectPrivate
predefinita.
ACL dell'oggetto predefiniti
Per impostazione predefinita, chiunque disponga dell'autorizzazione OWNER
o WRITER
per un bucket può caricare oggetti al suo interno. Quando carichi un oggetto, puoi fornire un'ACL predefinita o non specificare alcuna ACL. Se non specifichi un ACL, Cloud Storage applica all'oggetto l'ACL predefinito per gli oggetti del bucket. Ogni bucket ha un ACL degli oggetti predefinito, che viene applicato a tutti gli oggetti caricati nel bucket senza un ACL predefinito o specificato nella richiesta (solo API JSON). Il valore iniziale per l'ACL predefinita degli oggetti di ogni bucket è projectPrivate
.
In base alla modalità di caricamento degli oggetti, gli ACL degli oggetti vengono applicati di conseguenza:
Caricamenti autenticati
Se effettui una richiesta autenticata per caricare un oggetto e non specifichi alcun ACL dell'oggetto al momento del caricamento, il tuo nome viene visualizzato come proprietario dell'oggetto e l'ACL
projectPrivate
predefinito viene applicato all'oggetto per impostazione predefinita. Ciò significa che:Tu (la persona che ha caricato l'oggetto) sei indicato come proprietario dell'oggetto. La proprietà degli oggetti non può essere modificata modificando le ACL. Puoi cambiare la proprietà di un oggetto solo sostituendolo.
A te (proprietario dell'oggetto) è stata concessa l'autorizzazione
OWNER
per l'oggetto. Se tenti di concedere al proprietario un'autorizzazione inferiore aOWNER
, Cloud Storage esegue automaticamente la riassegnazione dell'autorizzazione aOWNER
.Il gruppo di proprietari e editor di progetto dispone dell'autorizzazione
OWNER
sull'oggetto.Il gruppo dei membri del team di progetto dispone dell'autorizzazione
READER
per l'oggetto.
Caricamenti anonimi
Se un utente non autenticato (anonimo) carica un oggetto, cosa possibile se un bucket concede l'autorizzazione
allUsers
al gruppoWRITER
oOWNER
, alle autorizzazioni ACL del bucket predefinite viene applicato l'oggetto come descritto sopra.Gli utenti anonimi non possono specificare un ACL predefinito durante il caricamento degli oggetti.
Comportamento ACL
Cloud Storage ti aiuta a rispettare le best practice applicando alcune regole di modifica delle ACL, che ti impediscono di impostare ACL che rendono i dati inaccessibili:
Non puoi applicare un ACL che specifica un proprietario di bucket o di oggetto diverso.
La proprietà dei bucket e degli oggetti non può essere modificata modificando gli ACL. Se applichi un nuovo ACL a un bucket o a un oggetto, assicurati che il proprietario del bucket o dell'oggetto rimanga invariato nel nuovo ACL.
Il proprietario del bucket o dell'oggetto ha sempre l'autorizzazione
OWNER
del bucket o dell'oggetto.Il proprietario di un bucket è il gruppo di proprietari del progetto e il proprietario di un oggetto è l'utente che lo ha caricato o il gruppo di proprietari del progetto se l'oggetto è stato caricato da un utente anonimo.
Quando applichi una nuova ACL a un bucket o a un oggetto, Cloud Storage aggiunge rispettivamente l'autorizzazione
OWNER
al proprietario del bucket o dell'oggetto se ometti le concessioni. Non concede l'autorizzazioneOWNER
al gruppo di proprietari del progetto per un oggetto (a meno che l'oggetto non sia stato creato da un utente anonimo), quindi devi includerlo esplicitamente.
Non puoi applicare ACL che modificano la proprietà di un bucket o di un oggetto (da non confondere con l'autorizzazione OWNER
). Una volta creati in Cloud Storage, la proprietà dei bucket e degli oggetti è permanente. Tuttavia, puoi cambiare efficacemente la proprietà degli oggetti (ma non dei bucket) sostituendoli. La sostituzione è essenzialmente un'operazione di eliminazione seguita immediatamente da un'operazione di caricamento. Durante un'operazione di caricamento, la persona che esegue il caricamento diventa proprietaria dell'oggetto. Tieni presente che per sostituire un oggetto, la persona che esegue la sostituzione (e acquisisce la proprietà dell'oggetto) deve disporre dell'autorizzazione WRITER
o OWNER
per il bucket in cui viene caricato l'oggetto.
Passaggi successivi
- Scopri come utilizzare le ACL.
- Scopri come semplificare controllo dell'accesso dell'accesso utilizzando l'accesso uniforme a livello di bucket.
- Scopri le best practice per l'utilizzo delle ACL.