公开数据

本页面介绍了如何将您拥有的对象设为可供公共互联网上的所有人读取,以及如何从存储桶中移除公开访问权限。如需了解如何访问已公开的数据,请参阅访问公开数据

当对象被公开共享时,只要对象处于公开状态,则任何知道对象 URI 的用户都可以访问该对象。

所需的角色

如需获得将对象设为可公开读取所需的权限,请让您的管理员为您授予包含您要设为公开的数据的存储桶的以下角色:

  • 将存储桶中的所有对象设为可公开读取:Storage Admin (roles/storage.admin)

  • 将个别对象设为可公开读取:Storage Object Admin (roles/storage.objectAdmin)

    • 如果您打算使用 Google Cloud 控制台,则需要 Storage Admin (roles/storage.admin) 角色,而不是 Storage Object Admin 角色。

  • 从存储桶的所有对象中移除公开访问权限:Storage Admin (roles/storage.admin)

这些角色可提供将对象设为公开所需的权限。如需查看所需的确切权限,请展开所需权限部分:

所需权限

  • storage.buckets.get
  • storage.buckets.getIamPolicy
  • storage.buckets.setIamPolicy
  • storage.buckets.update
  • storage.objects.get
  • storage.objects.getIamPolicy
  • storage.objects.setIamPolicy
  • storage.objects.update

只有在使用 Google Cloud 控制台执行本页面上的任务时,才需要以下权限:

  • storage.buckets.list
  • storage.objects.list

您也可以使用其他预定义角色自定义角色来获取这些权限。

如需了解如何授予存储桶的角色,请参阅将 IAM 与存储桶搭配使用

将存储桶中的所有对象设为可供公开读取

如需将存储桶中的所有对象设为可供公共互联网上的所有人读取,请为主账号 allUsers 授予 Storage Object Viewer (roles/storage.objectViewer) 角色:

控制台

  1. 在 Google Cloud 控制台中,进入 Cloud Storage 存储桶页面。

    进入“存储桶”

  2. 在存储桶列表中,点击您要设为公开的存储桶的名称。

  3. 选择页面顶部附近的权限标签。

  4. 权限部分中,点击 授予访问权限按钮。

    系统会显示“授予访问权限”对话框。

  5. 新的主账号字段中,输入 allUsers

  6. 选择角色下拉菜单的过滤条件框中输入 Storage Object Viewer,然后从过滤后的结果中选择 Storage Object Viewer

  7. 点击保存

  8. 点击允许公开访问

授予公开访问权限后,针对每个对象的复制网址将显示在“公开访问权限”列中。您可以点击此按钮以获取对象的公开网址。

如需了解如何在 Google Cloud 控制台中获取失败的 Cloud Storage 操作的详细错误信息,请参阅问题排查

如需了解如何解决组织政策错误和权限错误,请参阅排查公开数据的问题

命令行

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. 在开发环境中,运行 buckets add-iam-policy-binding 命令:

    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=allUsers --role=roles/storage.objectViewer

    其中 BUCKET_NAME 是您要公开其对象的存储桶的名称。例如 my-bucket

客户端库

C++

如需了解详情,请参阅 Cloud Storage C++ API 参考文档

如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证

namespace gcs = ::google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string const& bucket_name) {
  auto current_policy = client.GetNativeBucketIamPolicy(
      bucket_name, gcs::RequestedPolicyVersion(3));
  if (!current_policy) throw std::move(current_policy).status();

  current_policy->set_version(3);
  current_policy->bindings().emplace_back(
      gcs::NativeIamBinding("roles/storage.objectViewer", {"allUsers"}));

  auto updated =
      client.SetNativeBucketIamPolicy(bucket_name, *current_policy);
  if (!updated) throw std::move(updated).status();

  std::cout << "Policy successfully updated: " << *updated << "\n";
}

C#

如需了解详情,请参阅 Cloud Storage C# API 参考文档

如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证


using Google.Apis.Storage.v1.Data;
using Google.Cloud.Storage.V1;
using System;
using System.Collections.Generic;

public class MakeBucketPublicSample
{
    public void MakeBucketPublic(string bucketName = "your-unique-bucket-name")
    {
        var storage = StorageClient.Create();

        Policy policy = storage.GetBucketIamPolicy(bucketName);

        policy.Bindings.Add(new Policy.BindingsData
        {
            Role = "roles/storage.objectViewer",
            Members = new List<string> { "allUsers" }
        });

        storage.SetBucketIamPolicy(bucketName, policy);
        Console.WriteLine(bucketName + " is now public ");
    }
}

Go

如需了解详情,请参阅 Cloud Storage Go API 参考文档

如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/iam"
	"cloud.google.com/go/iam/apiv1/iampb"
	"cloud.google.com/go/storage"
)

// setBucketPublicIAM makes all objects in a bucket publicly readable.
func setBucketPublicIAM(w io.Writer, bucketName string) error {
	// bucketName := "bucket-name"
	ctx := context.Background()
	client, err := storage.NewClient(ctx)
	if err != nil {
		return fmt.Errorf("storage.NewClient: %w", err)
	}
	defer client.Close()

	policy, err := client.Bucket(bucketName).IAM().V3().Policy(ctx)
	if err != nil {
		return fmt.Errorf("Bucket(%q).IAM().V3().Policy: %w", bucketName, err)
	}
	role := "roles/storage.objectViewer"
	policy.Bindings = append(policy.Bindings, &iampb.Binding{
		Role:    role,
		Members: []string{iam.AllUsers},
	})
	if err := client.Bucket(bucketName).IAM().V3().SetPolicy(ctx, policy); err != nil {
		return fmt.Errorf("Bucket(%q).IAM().SetPolicy: %w", bucketName, err)
	}
	fmt.Fprintf(w, "Bucket %v is now publicly readable\n", bucketName)
	return nil
}

Java

如需了解详情,请参阅 Cloud Storage Java API 参考文档

如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证

import com.google.cloud.Identity;
import com.google.cloud.Policy;
import com.google.cloud.storage.Storage;
import com.google.cloud.storage.StorageOptions;
import com.google.cloud.storage.StorageRoles;

public class MakeBucketPublic {
  public static void makeBucketPublic(String projectId, String bucketName) {
    // The ID of your GCP project
    // String projectId = "your-project-id";

    // The ID of your GCS bucket
    // String bucketName = "your-unique-bucket-name";

    Storage storage = StorageOptions.newBuilder().setProjectId(projectId).build().getService();
    Policy originalPolicy = storage.getIamPolicy(bucketName);
    storage.setIamPolicy(
        bucketName,
        originalPolicy
            .toBuilder()
            .addIdentity(StorageRoles.objectViewer(), Identity.allUsers()) // All users can view
            .build());

    System.out.println("Bucket " + bucketName + " is now publicly readable");
  }
}

Node.js

如需了解详情,请参阅 Cloud Storage Node.js API 参考文档

如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证

/**
 * TODO(developer): Uncomment the following lines before running the sample.
 */
// The ID of your GCS bucket
// const bucketName = 'your-unique-bucket-name';

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

// Creates a client
const storage = new Storage();

async function makeBucketPublic() {
  await storage.bucket(bucketName).makePublic();

  console.log(`Bucket ${bucketName} is now publicly readable`);
}

makeBucketPublic().catch(console.error);

PHP

如需了解详情,请参阅 Cloud Storage PHP API 参考文档

如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证

use Google\Cloud\Storage\StorageClient;

/**
 * Update the specified bucket's IAM configuration to make it publicly accessible.
 *
 * @param string $bucketName The name of your Cloud Storage bucket.
 *        (e.g. 'my-bucket')
 */
function set_bucket_public_iam(string $bucketName): void
{
    $storage = new StorageClient();
    $bucket = $storage->bucket($bucketName);

    $policy = $bucket->iam()->policy(['requestedPolicyVersion' => 3]);
    $policy['version'] = 3;

    $role = 'roles/storage.objectViewer';
    $members = ['allUsers'];

    $policy['bindings'][] = [
        'role' => $role,
        'members' => $members
    ];

    $bucket->iam()->setPolicy($policy);

    printf('Bucket %s is now public', $bucketName);
}

Python

如需了解详情,请参阅 Cloud Storage Python API 参考文档

如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证

from typing import List

from google.cloud import storage


def set_bucket_public_iam(
    bucket_name: str = "your-bucket-name",
    members: List[str] = ["allUsers"],
):
    """Set a public IAM Policy to bucket"""
    # bucket_name = "your-bucket-name"

    storage_client = storage.Client()
    bucket = storage_client.bucket(bucket_name)

    policy = bucket.get_iam_policy(requested_policy_version=3)
    policy.bindings.append(
        {"role": "roles/storage.objectViewer", "members": members}
    )

    bucket.set_iam_policy(policy)

    print(f"Bucket {bucket.name} is now publicly readable")

Ruby

如需了解详情,请参阅 Cloud Storage Ruby API 参考文档

如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证

def set_bucket_public_iam bucket_name:
  # The ID of your GCS bucket
  # bucket_name = "your-unique-bucket-name"

  require "google/cloud/storage"

  storage = Google::Cloud::Storage.new
  bucket = storage.bucket bucket_name

  bucket.policy do |p|
    p.add "roles/storage.objectViewer", "allUsers"
  end

  puts "Bucket #{bucket_name} is now publicly readable"
end

Terraform

您可以使用 Terraform 资源将存储桶中的所有对象设为公开。

# Make bucket public
resource "google_storage_bucket_iam_member" "member" {
  provider = google
  bucket   = google_storage_bucket.default.name
  role     = "roles/storage.objectViewer"
  member   = "allUsers"
}

REST API

JSON API

  1. 安装并初始化 gcloud CLI,以便为 Authorization 标头生成访问令牌。

  2. 创建一个包含以下信息的 JSON 文件:

    {
  "bindings":[
    {
      "role": "roles/storage.objectViewer",
      "members":["allUsers"]
    }
  ]
}

  3. 使用 cURL,通过 PUT Bucket 请求调用 JSON API

    curl -X PUT --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"

    其中:

    • JSON_FILE_NAME 是您在第 2 步中创建的文件的路径。
    • BUCKET_NAME 是您要公开其对象的存储桶的名称。例如 my-bucket

XML API

XML API 不支持将存储桶中的所有对象设为可供公开读取。使用 Google Cloud 控制台或 gcloud storage

将存储桶的一部分设为可公开读取

使用托管式文件夹来控制名称前缀与托管式文件夹名称匹配的对象的访问权限。例如,您可以使用名为 my-folder 的托管式文件夹来控制名为 my-folder/cats.jpgmy-folder/dogs.jpg 的对象的访问权限。

如需将此类对象设为可公开访问,请先创建托管式文件夹,然后对该文件夹设置 IAM 政策以授予 allUsers Storage Object Viewer (roles/storage.objectViewer) 角色:

控制台

  1. 在 Google Cloud 控制台中,进入 Cloud Storage 存储桶页面。

    进入“存储桶”

  2. 点击包含您要设为公开的对象的存储桶的名称。

  3. 按照以下步骤创建一个文件夹:

    1. 点击创建文件夹按钮。

    2. 输入文件夹的名称。该文件夹转换为托管式文件夹后,以该名称开头的对象将受文件夹上设置的 IAM 角色的约束。

    3. 点击创建

  4. 按照以下步骤将该文件夹转换为托管式文件夹:

    1. 在显示存储桶内容的窗格中,找到您创建的文件夹的名称,然后点击更多选项图标

    2. 点击修改访问权限

    3. 在随即显示的窗口中,点击启用

  5. 按照以下步骤向文件夹添加 IAM 政策以授予 allUsers Storage Object Viewer (roles/storage.objectViewer) 角色:

    1. 如果托管式文件夹的权限窗格尚未打开,请点击托管式文件夹对应的更多选项图标 ,然后点击修改访问权限

    2. 权限窗格中,点击 添加主账号按钮。

    3. 新的主账号字段中,输入 allUsers

    4. 选择角色下拉菜单的过滤条件框中输入 Storage Object Viewer,然后从过滤后的结果中选择 Storage Object Viewer

    5. 点击保存

    6. 点击允许公开访问

授予公开访问权限后,针对每个适用对象的复制网址会显示在“公开访问权限”列中。您可以点击此按钮获取对象的公开网址。

如需了解如何在 Google Cloud 控制台中获取失败的 Cloud Storage 操作的详细错误信息,请参阅问题排查

如需了解如何解决组织政策错误和权限错误,请参阅排查公开数据的问题

命令行

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. 在开发环境中,使用 gcloud storage managed-folders create 命令创建托管式文件夹:

    gcloud storage managed-folders create gs://BUCKET_NAME/MANAGED_FOLDER_NAME/

    其中:

    • BUCKET_NAME 是要在其中创建托管文件夹的存储桶的名称。例如 my-bucket

    • MANAGED_FOLDER_NAME 是要创建的托管文件夹的名称。例如 my-managed-folder

  3. 在开发环境中,使用 gcloud storage managed-folders add-iam-policy-binding 命令allUsers 添加到托管式文件夹的 IAM 政策中:

    gcloud storage managed-folders add-iam-policy-binding gs://BUCKET_NAME/MANAGED_FOLDER_NAME --member=allUsers --role=roles/storage.objectViewer

    其中:

    • BUCKET_NAME 是包含您要向其添加 IAM 政策的托管式文件夹的存储桶的名称。例如 my-bucket
    • MANAGED_FOLDER_NAME 是您要向其添加公开访问权限的托管式文件夹的名称。例如 my-managed-folder

REST API

JSON API

  1. 安装并初始化 gcloud CLI,以便为 Authorization 标头生成访问令牌。

  2. 创建一个包含以下信息的 JSON 文件:

    {
  "name": "MANAGED_FOLDER_NAME"
}

    其中,MANAGED_FOLDER_NAME 是要创建的托管式文件夹的名称。例如 my-managed-folder

  3. 使用 cURL,通过 Insert ManagedFolder 请求调用 JSON API

    curl -X POST --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders"

    其中:

    • JSON_FILE_NAME 是您在上一步中创建的文件的路径。
    • BUCKET_NAME 是要在其中创建托管式文件夹的存储桶的名称。例如 my-bucket

  4. 创建一个包含以下信息的 JSON 文件:

    {
  "bindings":[
    {
      "role": "roles/storage.objectViewer",
      "members":["allUsers"]
    }
  ]
}

  5. 使用 cURL,通过 setIamPolicy ManagedFolder 请求调用 JSON API

    curl -X PUT --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAME/iam"

    其中:

    • JSON_FILE_NAME 是您在上一步中创建的文件的路径。
    • BUCKET_NAME 是包含您要向其添加 IAM 政策的托管式文件夹的存储桶的名称。例如 my-bucket
    • MANAGED_FOLDER_NAME 是您要向其添加 IAM 政策的托管式文件夹的名称。 例如 my-managed-folder

XML API

XML API 不支持使用托管式文件夹。请使用其他工具(例如 Google Cloud 控制台),或使用 Set Object ACL 请求为个别对象设置 ACL。以下是授予对象的 allUsers 访问权限的示例 ACL 文件:

<AccessControlList>
  <Entries>
    <Entry>
      <Scope type="AllUsers"/>
      <Permission>READ</Permission>
    </Entry>
  </Entries>
</AccessControlList>

移除对存储桶中所有对象的公开访问权限

如需移除对存储桶中所有对象的公开访问权限,请移除向 allUsers 授予 Storage Object Viewer (roles/storage.objectViewer) 角色的 IAM 政策:

控制台

  1. 在 Google Cloud 控制台中,进入 Cloud Storage 存储桶页面。

    进入“存储桶”

  2. 在存储桶列表中,点击要移除公开访问权限的存储桶的名称。

  3. 选择权限标签页。

    应用于存储桶的 IAM 政策显示在权限部分中。

  4. 按主账号查看标签页中,选中要移除的 allUsers 主账号的复选框。

  5. 点击移除访问权限按钮。

  6. 在出现的叠加窗口中,点击确认

如需了解如何在 Google Cloud 控制台中获取有关失败的 Cloud Storage 操作的详细错误信息,请参阅问题排查

命令行

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. 在开发环境中,运行 buckets remove-iam-policy-binding 命令

gcloud storage buckets remove-iam-policy-binding  gs://BUCKET_NAME --member=allUsers --role=roles/storage.objectViewer

其中 BUCKET_NAME 是您要撤消其访问权限的存储桶的名称。例如 my-bucket

REST API

JSON

  1. 安装并初始化 gcloud CLI,以便为 Authorization 标头生成访问令牌。

  2. 获取应用于存储桶的现有政策。为此,请使用 cURL 通过 GET getIamPolicy 请求调用 JSON API

    curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"

    其中 BUCKET_NAME 是您要查看 IAM 政策的存储桶的名称。例如 my-bucket

  3. 创建一个包含您在上一步中检索的政策的 JSON 文件,并修改该文件以从政策中移除 allUsers 主账号的绑定。

  4. 使用 cURL,通过 PUT setIamPolicy 请求调用 JSON API

    curl -X PUT --data-binary @JSON_FILE_NAME \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"

    其中:

    • JSON_FILE_NAME 是您在第 3 步中创建的文件的路径。

    • BUCKET_NAME 是您要移除对其访问权限的存储桶的名称,例如 my-bucket

后续步骤