In questa pagina viene descritto come impostare i criteri di Identity and Access Management (IAM) sui bucket, in modo da controllare l'accesso agli oggetti e alle cartelle gestite all'interno dei bucket.
Se stai cercando altri metodi di controllo dell'accesso dell'accesso, consulta le seguenti risorse:
Per scoprire come ottenere un controllo più granulare sui gruppi di oggetti, consulta Impostare e gestire i criteri IAM nelle cartelle gestite.
Per un modo alternativo per controllare l'accesso ai singoli oggetti nei tuoi bucket, consulta Elenchi di controllo dell'accesso.
Per saperne di più sul controllo dell'accesso alle risorse di Cloud Storage, consulta la Panoramica del controllo dell'accesso.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per impostare e gestire i criteri IAM per un bucket, chiedi all'amministratore di concederti il ruolo IAM Amministratore archiviazione (roles/storage.admin
) per il bucket.
Questo ruolo contiene le seguenti autorizzazioni, necessarie per impostare e gestire le norme IAM per i bucket:
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
storage.buckets.list
- Questa autorizzazione è obbligatoria solo se prevedi di utilizzare la console Google Cloud per eseguire le attività in questa pagina.
Puoi anche ottenere queste autorizzazioni con i ruoli personalizzati.
Aggiungere un'entità a un criterio a livello di bucket
Per un elenco dei ruoli associati a Cloud Storage, consulta Ruoli IAM. Per informazioni sulle entità a cui concedi i ruoli IAM, consulta Identificatori principali.
Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket per cui vuoi concedere un ruolo a un'entità.
Seleziona la scheda Autorizzazioni nella parte superiore della pagina.
Fai clic sul pulsante add_box Concedi accesso.
Viene visualizzata la finestra di dialogo Aggiungi entità.
Nel campo Nuove entità, inserisci una o più identità che devono accedere al tuo bucket.
Seleziona un ruolo o più ruoli dal menu a discesa Seleziona un ruolo. I ruoli selezionati vengono visualizzati nel riquadro con una breve descrizione delle autorizzazioni concesse.
Fai clic su Salva.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta la sezione Risoluzione dei problemi.
Riga di comando
Utilizza il comando buckets add-iam-policy-binding
:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Dove:
BUCKET_NAME
è il nome del bucket a cui granti l'accesso principale. Ad esempio,my-bucket
.PRINCIPAL_IDENTIFIER
identifica a chi stai grantendo l'accesso al bucket. Ad esempio,user:jane@gmail.com
. Per un elenco dei formati degli identificatori principali, consulta Identificatori principali.IAM_ROLE
è il ruolo IAM che concedi all'entità. Ad esempio:roles/storage.objectViewer
.
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
API REST
JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Crea un file JSON contenente le seguenti informazioni:
{ "bindings":[ { "role": "IAM_ROLE", "members":[ "PRINCIPAL_IDENTIFIER" ] } ] }
Dove:
IAM_ROLE
è il ruolo IAM che stai concedendo. Ad esempio:roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
identifica a chi stai grantendo l'accesso al bucket. Ad esempio,user:jane@gmail.com
. Per un elenco dei formati degli identificatori principali, consulta Identificatori principali.
Utilizza
cURL
per chiamare l'API JSON con una richiestaPUT setIamPolicy
:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove:
JSON_FILE_NAME
è il percorso del file che hai creato nel passaggio 2.BUCKET_NAME
è il nome del bucket a cui vuoi concedere l'accesso principale. Ad esempio,my-bucket
.
Visualizza il criterio IAM per un bucket
Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket di cui vuoi visualizzare il criterio.
Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.
Il criterio IAM che si applica al bucket viene visualizzato nella sezione Autorizzazioni.
(Facoltativo) Utilizza la barra Filtro per filtrare i risultati.
Se esegui la ricerca per entità, i risultati mostrano ogni ruolo concesso all'entità.
Riga di comando
Utilizza il comando buckets get-iam-policy
:
gcloud storage buckets get-iam-policy gs://BUCKET_NAME
dove BUCKET_NAME
è il nome del bucket
la cui norma IAM vuoi visualizzare. Ad esempio,
my-bucket
.
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
API REST
JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API JSON con una richiestaGET getIamPolicy
:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
dove
BUCKET_NAME
è il nome del bucket la cui norma IAM vuoi visualizzare. Ad esempio,my-bucket
.
Rimuovere un'entità da un criterio a livello di bucket
Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket da cui vuoi rimuovere il ruolo di un principale.
Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.
Il criterio IAM che si applica al bucket viene visualizzato nella sezione Autorizzazioni.
Nella scheda Visualizza per entità, seleziona la casella di controllo relativa all'entità da rimuovere.
Fai clic sul pulsante - Rimuovi accesso.
Nella finestra in overlay visualizzata, fai clic su Conferma.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta la sezione Risoluzione dei problemi.
Riga di comando
Utilizza il comando buckets remove-iam-policy-binding
:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Dove:
BUCKET_NAME
è il nome del bucket a cui stai revocando l'accesso. Ad esempio,my-bucket
.PRINCIPAL_IDENTIFIER
identifica chi sta revocando l'accesso. Ad esempio,user:jane@gmail.com
. Per un elenco di formati di identificatori principali, consulta Identificatori principali.IAM_ROLE
è il ruolo IAM che stai revocando. Ad esempio:roles/storage.objectViewer
.
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
API REST
JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Applica il criterio esistente al bucket. A tale scopo, utilizza
cURL
per chiamare l'API JSON con unaGET getIamPolicy
richiesta:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
dove
BUCKET_NAME
è il nome del bucket la cui norma IAM vuoi visualizzare. Ad esempio,my-bucket
.Crea un file JSON contenente il criterio recuperato nel passaggio precedente.
Modifica il file JSON per rimuovere il principale dal criterio.
Utilizza
cURL
per chiamare l'API JSON con una richiestaPUT setIamPolicy
:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove:
JSON_FILE_NAME
è il percorso del file che hai creato nel passaggio 3.BUCKET_NAME
è il nome del bucket da cui vuoi rimuovere l'accesso. Ad esempio,my-bucket
.
Utilizzare le condizioni IAM sui bucket
Le sezioni seguenti mostrano come aggiungere e rimuovere le condizioni IAM nei bucket. Per visualizzare le condizioni IAM per il tuo bucket, consulta la sezione Visualizzazione del criterio IAM per un bucket. Per ulteriori informazioni sull'utilizzo delle condizioni IAM con Cloud Storage, consulta Condizioni.
Prima di aggiungere le condizioni, devi abilitare l'accesso uniforme a livello di bucket nel bucket.
Impostare una nuova condizione su un bucket
Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket per cui vuoi aggiungere una nuova condizione.
Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.
Il criterio IAM che si applica al bucket viene visualizzato nella sezione Autorizzazioni.
Fai clic su + Concedi accesso.
In Nuove entità, inserisci le entità a cui vuoi concedere l'accesso al tuo bucket.
Per ogni ruolo a cui vuoi applicare una condizione:
Seleziona un Ruolo da concedere agli entità.
Fai clic su Aggiungi condizione per aprire il modulo Modifica condizione.
Compila il Titolo della condizione. Il campo Descrizione è facoltativo.
Utilizza il Generatore di condizioni per creare la condizione visivamente oppure utilizza la scheda Editor delle condizioni per inserire l'espressione CEL.
Fai clic su Salva per tornare al modulo Aggiungi entità. Per aggiungere più ruoli, fai clic su Aggiungi un altro ruolo.
Fai clic su Salva.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta la sezione Risoluzione dei problemi.
Riga di comando
Crea un file JSON o YAML che definisce la condizione, inclusi il
title
della condizione, la logica basata sugli attributiexpression
per la condizione e, facoltativamente, undescription
per la condizione.Tieni presente che Cloud Storage supporta solo gli attributi data/time, type e name nel
expression
.Utilizza il comando
buckets add-iam-policy-binding
con il--condition-from-file
flag:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE --condition-from-file=CONDITION_FILE
Dove:
BUCKET_NAME
è il nome del bucket a cui granti l'accesso principale. Ad esempio,my-bucket
.PRINCIPAL_IDENTIFIER
identifica a chi si applica la condizione. Ad esempio,user:jane@gmail.com
. Per un elenco dei formati degli identificatori principali, consulta Identificatori principali.IAM_ROLE
è il ruolo IAM che concedi all'entità. Ad esempio:roles/storage.objectViewer
.CONDITION_FILE
è il file che hai creato nel passaggio precedente.
In alternativa, puoi includere la condizione direttamente nel comando con il flag --condition
anziché con il flag --condition-from-file
.
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
API REST
JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza una richiesta
GET getIamPolicy
per salvare il criterio IAM del bucket in un file JSON temporaneo:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json
Dove
BUCKET_NAME
è il nome del bucket pertinente. Ad esempio,my-bucket
.Modifica il file
tmp-policy.json
in un editor di testo per aggiungere nuove condizioni alle associazioni nel criterio IAM:{ "version": VERSION, "bindings": [ { "role": "IAM_ROLE", "members": [ "PRINCIPAL_IDENTIFIER" ], "condition": { "title": "TITLE", "description": "DESCRIPTION", "expression": "EXPRESSION" } } ], "etag": "ETAG" }
Dove:
VERSION
è la versione del criterio IAM, che deve essere 3 per i bucket con condizioni IAM.IAM_ROLE
è il ruolo a cui si applica la condizione. Ad esempio,roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
identifica a chi si applica la condizione. Ad esempio,user:jane@gmail.com
. Per un elenco di formati di identificatori principali, consulta Identificatori principali.TITLE
è il titolo della condizione. Ad esempio,expires in 2019
.DESCRIPTION
è una descrizione facoltativa della condizione. Ad esempio,Permission revoked on New Year's
.EXPRESSION
è un'espressione logica basata sugli attributi. Ad esempio,request.time < timestamp(\"2019-01-01T00:00:00Z\")
. Per altri esempi di espressioni, consulta il riferimento all'attributo Conditions. Tieni presente che Cloud Storage supporta solo gli attributi data/ora, tipo di risorsa e nome risorsa.
Non modificare
ETAG
.Utilizza una richiesta
PUT setIamPolicy
per impostare il criterio IAM modificato sul bucket:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove
BUCKET_NAME
è il nome del bucket pertinente. Ad esempio,my-bucket
.
Rimuovere una condizione da un bucket
Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket da cui vuoi rimuovere una condizione.
Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.
Il criterio IAM che si applica al bucket viene visualizzato nella sezione Autorizzazioni.
Fai clic sull'icona Modifica edit per il principale associato alla condizione.
Nell'overlay Modifica accesso visualizzato, fai clic sul nome della condizione da eliminare.
Nell'overlay Modifica condizione visualizzato, fai clic su Elimina e poi su Conferma.
Fai clic su Salva.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta la sezione Risoluzione dei problemi.
Riga di comando
Utilizza il comando
buckets get-iam-policy
per salvare il criterio IAM del bucket in un file JSON temporaneo.gcloud storage buckets get-iam-policy gs://BUCKET_NAME > tmp-policy.json
Modifica il file
tmp-policy.json
in un editor di testo per rimuovere le condizioni dal criterio IAM.Utilizza
buckets set-iam-policy
per impostare il criterio IAM modificato sul bucket.gcloud storage buckets set-iam-policy gs://BUCKET_NAME tmp-policy.json
Esempi di codice
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
API REST
JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza una richiesta
GET getIamPolicy
per salvare il criterio IAM del bucket in un file JSON temporaneo:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json
Dove
BUCKET_NAME
è il nome del bucket a cui stai concedendo l'accesso. Ad esempio,my-bucket
.Modifica il file
tmp-policy.json
in un editor di testo per rimuovere le condizioni dal criterio IAM.Utilizza una richiesta
PUT setIamPolicy
per impostare il criterio IAM modificato sul bucket:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
dove
BUCKET_NAME
è il nome del bucket di cui vuoi modificare il criterio IAM. Ad esempio,my-bucket
.
Best practice
Devi impostare il ruolo minimo necessario per concedere all'entità principale
l'accesso richiesto. Ad esempio, se un membro del team deve solo leggere gli oggetti archiviati in un bucket, assegnagli il ruolo Visualizzatore oggetti archiviazione (roles/storage.objectViewer
) anziché Amministratore oggetti archiviazione (roles/storage.objectAdmin
). Analogamente, se il membro del team ha bisogno del controllo completo degli oggetti nel bucket, ma non del bucket stesso, assegnagli il ruolo Amministratore oggetti archiviazione (roles/storage.objectAdmin
) anziché il ruolo Amministratore archiviazione (roles/storage.admin
).
Passaggi successivi
- Scopri come condividere pubblicamente i tuoi dati.
- Consulta esempi specifici di condivisione e collaborazione.
- Scopri le best practice per l'utilizzo di IAM.
- Scopri come utilizzare i consigli sui ruoli per i bucket.
- Per risolvere i problemi relativi alle operazioni non riuscite relative a ruoli e autorizzazioni IAM, consulta la sezione Risoluzione dei problemi.