Rendre des données publiques

Cette page vous explique comment rendre vos objets lisibles par tous sur l'Internet public et comment supprimer l'accès public à votre bucket. Pour savoir comment accéder aux données rendues publiques, consultez Accéder aux données publiques.

Lorsqu'un objet est partagé publiquement, tout utilisateur connaissant son URI peut y accéder tant qu'il est public.

Rôles requis

Pour obtenir les autorisations requises pour rendre des objets accessibles en lecture publique, demandez à votre administrateur de vous accorder les rôles suivants pour le bucket contenant les données que vous souhaitez rendre publiques :

  • Pour rendre tous les objets d'un bucket lisibles publiquement : administrateur de l'espace de stockage (roles/storage.admin)

  • Pour rendre des objets individuels lisibles publiquement: administrateur des objets de l'espace de stockage (roles/storage.objectAdmin)

    • Si vous prévoyez d'utiliser la console Google Cloud , vous devrez disposer du rôle Administrateur de l'espace de stockage (roles/storage.admin) au lieu du rôle "Administrateur des objets de l'espace de stockage".

  • Pour supprimer l'accès public à tous les objets d'un bucket : administrateur de l'espace de stockage (roles/storage.admin)

Ces rôles contiennent les autorisations requises pour rendre des objets publics. Pour afficher les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

  • storage.buckets.get
  • storage.buckets.getIamPolicy
  • storage.buckets.setIamPolicy
  • storage.buckets.update
  • storage.objects.get
  • storage.objects.getIamPolicy
  • storage.objects.setIamPolicy
  • storage.objects.update

Les autorisations suivantes ne sont requises que pour effectuer les tâches décrites sur cette page à l'aide de la consoleGoogle Cloud  :

  • storage.buckets.list
  • storage.objects.list

Vous pouvez également obtenir ces autorisations avec d'autres rôles prédéfinis ou rôles personnalisés.

Pour savoir comment attribuer des rôles aux buckets, consultez la section Utiliser IAM avec des buckets.

Rendre tous les objets d'un bucket lisibles publiquement :

Pour rendre tous les objets d'un bucket lisibles par tous sur l'Internet public, attribuez au compte principal allUsers le rôle "Lecteur des objets Storage" (roles/storage.objectViewer) :

Console

  1. Dans la console Google Cloud , accédez à la page Buckets de Cloud Storage.

    Accéder à la page "Buckets"

  2. Dans la liste des buckets, cliquez sur le nom de celui que vous souhaitez rendre public.

  3. Sélectionnez l'onglet Autorisations en haut de la page.

  4. Dans la section Autorisations, cliquez sur le bouton Accorder l'accès.

    La boîte de dialogue Accorder l'accès s'affiche.

  5. Dans le champ Nouveaux comptes principaux, saisissez allUsers.

  6. Dans la liste déroulante Sélectionner un rôle, saisissez Storage Object Viewer dans le champ de filtre, puis sélectionnez Lecteur des objets Storage dans les résultats filtrés.

  7. Cliquez sur Enregistrer.

  8. Cliquez sur Autoriser l'accès public.

Une fois l'accès public accordé, un bouton Copier l'URL s'affiche pour chaque objet dans la colonne Accès public. Vous pouvez cliquer sur ce bouton pour obtenir l'URL publique de l'objet. L'URL publique est différente du lien que vous obtenez en effectuant un clic droit sur un objet. Les deux liens permettent d'accéder à un objet, mais l'URL publique fonctionne sans que l'utilisateur ait besoin de se connecter à un compte utilisateur. Pour en savoir plus, consultez la page Points de terminaison de requêtes.

Pour savoir comment obtenir des informations détaillées sur les erreurs liées aux opérations Cloud Storage ayant échoué dans la console Google Cloud , consultez la section Dépannage.

Pour savoir comment résoudre les erreurs liées aux règles de l'organisation et aux autorisations, consultez Résoudre les problèmes liés à la publication de données.

Ligne de commande

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Dans votre environnement de développement, exécutez la commande buckets add-iam-policy-binding :

    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=allUsers --role=roles/storage.objectViewer

    BUCKET_NAME correspond au nom du bucket dont vous souhaitez rendre les objets publics. Par exemple, my-bucket.

Bibliothèques clientes

C++

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage C++.

Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 

namespace gcs = ::google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string const& bucket_name) {
  auto current_policy = client.GetNativeBucketIamPolicy(
      bucket_name, gcs::RequestedPolicyVersion(3));
  if (!current_policy) throw std::move(current_policy).status();

  current_policy->set_version(3);
  current_policy->bindings().emplace_back(
      gcs::NativeIamBinding("roles/storage.objectViewer", {"allUsers"}));

  auto updated =
      client.SetNativeBucketIamPolicy(bucket_name, *current_policy);
  if (!updated) throw std::move(updated).status();

  std::cout << "Policy successfully updated: " << *updated << "\n";
}

C#

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage C#.

Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 


using Google.Apis.Storage.v1.Data;
using Google.Cloud.Storage.V1;
using System;
using System.Collections.Generic;

public class MakeBucketPublicSample
{
    public void MakeBucketPublic(string bucketName = "your-unique-bucket-name")
    {
        var storage = StorageClient.Create();

        Policy policy = storage.GetBucketIamPolicy(bucketName);

        policy.Bindings.Add(new Policy.BindingsData
        {
            Role = "roles/storage.objectViewer",
            Members = new List<string> { "allUsers" }
        });

        storage.SetBucketIamPolicy(bucketName, policy);
        Console.WriteLine(bucketName + " is now public ");
    }
}

Go

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Go.

Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/iam"
	"cloud.google.com/go/iam/apiv1/iampb"
	"cloud.google.com/go/storage"
)

// setBucketPublicIAM makes all objects in a bucket publicly readable.
func setBucketPublicIAM(w io.Writer, bucketName string) error {
	// bucketName := "bucket-name"
	ctx := context.Background()
	client, err := storage.NewClient(ctx)
	if err != nil {
		return fmt.Errorf("storage.NewClient: %w", err)
	}
	defer client.Close()

	policy, err := client.Bucket(bucketName).IAM().V3().Policy(ctx)
	if err != nil {
		return fmt.Errorf("Bucket(%q).IAM().V3().Policy: %w", bucketName, err)
	}
	role := "roles/storage.objectViewer"
	policy.Bindings = append(policy.Bindings, &iampb.Binding{
		Role:    role,
		Members: []string{iam.AllUsers},
	})
	if err := client.Bucket(bucketName).IAM().V3().SetPolicy(ctx, policy); err != nil {
		return fmt.Errorf("Bucket(%q).IAM().SetPolicy: %w", bucketName, err)
	}
	fmt.Fprintf(w, "Bucket %v is now publicly readable\n", bucketName)
	return nil
}

Java

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Java.

Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 

import com.google.cloud.Identity;
import com.google.cloud.Policy;
import com.google.cloud.storage.Storage;
import com.google.cloud.storage.StorageOptions;
import com.google.cloud.storage.StorageRoles;

public class MakeBucketPublic {
  public static void makeBucketPublic(String projectId, String bucketName) {
    // The ID of your GCP project
    // String projectId = "your-project-id";

    // The ID of your GCS bucket
    // String bucketName = "your-unique-bucket-name";

    Storage storage = StorageOptions.newBuilder().setProjectId(projectId).build().getService();
    Policy originalPolicy = storage.getIamPolicy(bucketName);
    storage.setIamPolicy(
        bucketName,
        originalPolicy.toBuilder()
            .addIdentity(StorageRoles.objectViewer(), Identity.allUsers()) // All users can view
            .build());

    System.out.println("Bucket " + bucketName + " is now publicly readable");
  }
}

Node.js

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Node.js.

Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 

/**
 * TODO(developer): Uncomment the following lines before running the sample.
 */
// The ID of your GCS bucket
// const bucketName = 'your-unique-bucket-name';

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

// Creates a client
const storage = new Storage();

async function makeBucketPublic() {
  await storage.bucket(bucketName).makePublic();

  console.log(`Bucket ${bucketName} is now publicly readable`);
}

makeBucketPublic().catch(console.error);

PHP

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage PHP.

Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 

use Google\Cloud\Storage\StorageClient;

/**
 * Update the specified bucket's IAM configuration to make it publicly accessible.
 *
 * @param string $bucketName The name of your Cloud Storage bucket.
 *        (e.g. 'my-bucket')
 */
function set_bucket_public_iam(string $bucketName): void
{
    $storage = new StorageClient();
    $bucket = $storage->bucket($bucketName);

    $policy = $bucket->iam()->policy(['requestedPolicyVersion' => 3]);
    $policy['version'] = 3;

    $role = 'roles/storage.objectViewer';
    $members = ['allUsers'];

    $policy['bindings'][] = [
        'role' => $role,
        'members' => $members
    ];

    $bucket->iam()->setPolicy($policy);

    printf('Bucket %s is now public', $bucketName);
}

Python

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Python.

Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 

from typing import List

from google.cloud import storage


def set_bucket_public_iam(
    bucket_name: str = "your-bucket-name",
    members: List[str] = ["allUsers"],
):
    """Set a public IAM Policy to bucket"""
    # bucket_name = "your-bucket-name"

    storage_client = storage.Client()
    bucket = storage_client.bucket(bucket_name)

    policy = bucket.get_iam_policy(requested_policy_version=3)
    policy.bindings.append(
        {"role": "roles/storage.objectViewer", "members": members}
    )

    bucket.set_iam_policy(policy)

    print(f"Bucket {bucket.name} is now publicly readable")

Ruby

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Ruby.

Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes. 

def set_bucket_public_iam bucket_name:
  # The ID of your GCS bucket
  # bucket_name = "your-unique-bucket-name"

  require "google/cloud/storage"

  storage = Google::Cloud::Storage.new
  bucket = storage.bucket bucket_name

  bucket.policy do |p|
    p.add "roles/storage.objectViewer", "allUsers"
  end

  puts "Bucket #{bucket_name} is now publicly readable"
end

Terraform

Vous pouvez utiliser une ressource Terraform pour rendre publics tous les objets d'un bucket.

# Make bucket public
resource "google_storage_bucket_iam_member" "member" {
  provider = google
  bucket   = google_storage_bucket.default.name
  role     = "roles/storage.objectViewer"
  member   = "allUsers"
}

API REST

API JSON

  1. Vous devez installer et initialiser gcloud CLIafin de générer un jeton d'accès pour l'en-tête Authorization.

  2. Créez un fichier JSON contenant les informations suivantes :

    {
  "bindings":[
    {
      "role": "roles/storage.objectViewer",
      "members":["allUsers"]
    }
  ]
}

  3. Utilisez cURL pour appeler l'API JSON avec une requête de bucket PUT :

    curl -X PUT --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"

    Où :

    • JSON_FILE_NAME correspond au chemin d'accès au fichier que vous avez créé à l'étape 2.
    • BUCKET_NAME est le nom du bucket dont vous souhaitez rendre les objets publics. Exemple : my-bucket.

API XML

L'API XML ne permet pas de rendre tous les objets d'un bucket lisibles publiquement. Utilisez la console Google Cloud ou gcloud storage.

Rendre une partie d'un bucket lisible publiquement

Utilisez un dossier géré pour contrôler l'accès aux objets dont le préfixe de nom correspond au nom du dossier géré. Par exemple, un dossier géré nommé my-folder peut être utilisé pour contrôler l'accès aux objets nommés my-folder/cats.jpg et my-folder/dogs.jpg.

Pour rendre ces objets accessibles au public, commencez par créer le dossier géré, puis définissez une stratégie IAM sur le dossier qui attribue le rôle Lecteur des objets Storage (roles/storage.objectViewer) à allUsers :

Console

  1. Dans la console Google Cloud , accédez à la page Buckets de Cloud Storage.

    Accéder à la page "Buckets"

  2. Cliquez sur le nom du bucket contenant les objets que vous souhaitez rendre publics.

  3. Pour créer un dossier :

    1. Cliquez sur le bouton Créer un dossier.

    2. Saisissez le nom du dossier. Une fois le dossier converti en dossier géré, les objets dont le nom commence par ce nom seront soumis aux rôles IAM définis sur le dossier.

    3. Cliquez sur Créer.

  4. Convertissez le dossier en dossier géré en procédant comme suit :

    1. Dans le volet affichant le contenu du bucket, recherchez le nom du dossier que vous avez créé, puis cliquez sur l'icône Plus d'options .

    2. Cliquez sur Modifier l'accès.

    3. Dans la fenêtre qui apparaît, cliquez sur Activer.

  5. Ajoutez une stratégie IAM au dossier qui attribue le rôle Lecteur des objets Storage (roles/storage.objectViewer) à allUsers, en procédant comme suit :

    1. Si le volet Autorisations de votre dossier géré n'est pas déjà ouvert, cliquez sur l'icône Plus d'options  pour le dossier géré, puis sur Modifier l'accès.

    2. Dans le volet Autorisations, cliquez sur le bouton Ajouter un compte principal.

    3. Dans le champ Nouveaux comptes principaux, saisissez allUsers.

    4. Dans la liste déroulante Sélectionner un rôle, saisissez Storage Object Viewer dans le champ de filtre, puis sélectionnez Lecteur des objets Storage dans les résultats filtrés.

    5. Cliquez sur Enregistrer.

    6. Cliquez sur Autoriser l'accès public.

Une fois l'accès public accordé, un bouton Copier l'URL s'affiche pour chaque objet concerné dans la colonne Accès public. Vous pouvez cliquer sur ce bouton pour obtenir l'URL publique de l'objet. L'URL publique est différente du lien que vous obtenez en effectuant un clic droit sur un objet. Les deux liens permettent d'accéder à un objet, mais l'URL publique fonctionne sans que l'utilisateur ait besoin de se connecter à un compte utilisateur. Pour en savoir plus, consultez la page Points de terminaison de requêtes.

Pour savoir comment obtenir des informations détaillées sur les erreurs liées aux opérations Cloud Storage ayant échoué dans la console Google Cloud , consultez la section Dépannage.

Pour savoir comment résoudre les erreurs liées aux règles de l'organisation et aux autorisations, consultez Résoudre les problèmes liés à la publication de données.

Ligne de commande

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Dans votre environnement de développement, créez un dossier géré à l'aide de la commande gcloud storage managed-folders create :

    gcloud storage managed-folders create gs://BUCKET_NAME/MANAGED_FOLDER_NAME/

    Où :

    • BUCKET_NAME correspond au nom du bucket dans lequel vous souhaitez créer un dossier géré. Exemple :my-bucket

    • MANAGED_FOLDER_NAME correspond au nom du dossier géré que vous souhaitez créer. Exemple :my-managed-folder

  3. Dans votre environnement de développement, ajoutez allUsers à la stratégie IAM du dossier géré à l'aide de la commande gcloud storage managed-folders add-iam-policy-binding :

    gcloud storage managed-folders add-iam-policy-binding gs://BUCKET_NAME/MANAGED_FOLDER_NAME --member=allUsers --role=roles/storage.objectViewer

    Où :

    • BUCKET_NAME correspond au nom du bucket contenant le dossier géré auquel vous ajoutez la stratégie IAM. Exemple :my-bucket
    • MANAGED_FOLDER_NAME correspond au nom du dossier géré pour lequel vous souhaitez accorder l'accès public. Exemple : my-managed-folder.

API REST

API JSON

  1. Vous devez installer et initialiser gcloud CLIafin de générer un jeton d'accès pour l'en-tête Authorization.

  2. Créez un fichier JSON contenant les informations suivantes :

    {
  "name": "MANAGED_FOLDER_NAME"
}

    MANAGED_FOLDER_NAME correspond au nom du dossier géré que vous souhaitez créer. Exemple :my-managed-folder

  3. Utilisez cURL pour appeler l'API JSON avec une requête Insert ManagedFolder :

    curl -X POST --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders"

    Où :

    • JSON_FILE_NAME correspond au chemin d'accès au fichier que vous avez créé à l'étape précédente.
    • BUCKET_NAME correspond au nom du bucket dans lequel vous souhaitez créer un dossier géré. Exemple : my-bucket.

  4. Créez un fichier JSON contenant les informations suivantes :

    {
  "bindings":[
    {
      "role": "roles/storage.objectViewer",
      "members":["allUsers"]
    }
  ]
}

  5. Utilisez cURL pour appeler l'API JSON avec une requête setIamPolicy ManagedFolder :

    curl -X PUT --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAME/iam"

    Où :

    • JSON_FILE_NAME correspond au chemin d'accès au fichier que vous avez créé à l'étape précédente.
    • BUCKET_NAME correspond au nom du bucket contenant le dossier géré auquel vous ajoutez la stratégie IAM. Exemple :my-bucket
    • MANAGED_FOLDER_NAME correspond au nom du dossier géré auquel vous ajoutez la stratégie IAM. Exemple :my-managed-folder

API XML

L'API XML ne permet pas d'utiliser les dossiers gérés. Utilisez un autre outil, comme la console Google Cloud , ou définissez des LCA sur des objets individuels à l'aide de requêtes Set Object ACL. Voici un exemple de fichier de LCA qui accorderait l'accès allUsers à un objet :

<AccessControlList>
  <Entries>
    <Entry>
      <Scope type="AllUsers"/>
      <Permission>READ</Permission>
    </Entry>
  </Entries>
</AccessControlList>

Supprimer l'accès public pour tous les objets d'un bucket

Pour supprimer l'accès public à tous les objets d'un bucket, supprimez la stratégie IAM qui attribue le rôle Lecteur des objets Storage (roles/storage.objectViewer) à allUsers :

Console

  1. Dans la console Google Cloud , accédez à la page Buckets de Cloud Storage.

    Accéder à la page "Buckets"

  2. Dans la liste des buckets, cliquez sur le nom de celui pour lequel vous souhaitez supprimer l'accès public.

  3. Sélectionnez l'onglet Autorisations.

    La stratégie IAM qui s'applique au bucket s'affiche dans la section Autorisations.

  4. Dans l'onglet Afficher par compte principal, cochez la case correspondant au compte principal allUsers que vous supprimez.

  5. Cliquez sur le bouton Supprimer l'accès.

  6. Dans la fenêtre de superposition qui s'affiche, cliquez sur Confirmer.

Pour savoir comment obtenir des informations détaillées sur les erreurs liées aux opérations Cloud Storage ayant échoué dans la console Google Cloud , consultez la section Dépannage.

Ligne de commande

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Dans votre environnement de développement, exécutez la commande buckets remove-iam-policy-binding :

gcloud storage buckets remove-iam-policy-binding  gs://BUCKET_NAME --member=allUsers --role=roles/storage.objectViewer

BUCKET_NAME correspond au nom du bucket pour lequel vous révoquez l'accès. Exemple :my-bucket

API REST

JSON

  1. Vous devez installer et initialiser gcloud CLIafin de générer un jeton d'accès pour l'en-tête Authorization.

  2. Obtenez la stratégie existante appliquée à votre bucket. Pour ce faire, exécutez cURL pour appeler l'API JSON avec une requête GET getIamPolicy :

    curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"

    BUCKET_NAME correspond au nom du bucket dont vous souhaitez afficher la stratégie IAM. Exemple : my-bucket.

  3. Créez un fichier JSON contenant la stratégie récupérée à l'étape précédente, puis modifiez-le pour supprimer l'association du compte principal allUsers de la stratégie.

  4. Exécutez cURL pour appeler l'API JSON avec une requête PUT setIamPolicy :

    curl -X PUT --data-binary @JSON_FILE_NAME \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"

    Où :

    • JSON_FILE_NAME correspond au chemin d'accès au fichier que vous avez créé à l'étape 3.

    • BUCKET_NAME correspond au nom du bucket pour lequel vous voulez supprimer l'accès. Exemple :my-bucket

Étapes suivantes