In questa pagina viene descritto come impostare i criteri di Identity and Access Management (IAM) su Puoi controllare l'accesso agli oggetti e alle cartelle gestite al loro interno. bucket.
Se stai cercando altri metodi di controllo dell'accesso, consulta quanto segue di risorse:
Per scoprire come ottenere un controllo più granulare sui gruppi di oggetti, consulta Impostare e gestire i criteri IAM nelle cartelle gestite.
Un modo alternativo per controllare l'accesso ai singoli oggetti nei bucket, consulta Elenchi di controllo dell'accesso.
Per ulteriori informazioni sul controllo dell'accesso a Cloud Storage, per risorse, consulta Panoramica del controllo dell'accesso.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per impostare e gestire IAM
per un bucket, chiedi all'amministratore di concederti il ruolo
(roles/storage.admin
) Ruolo IAM per il bucket.
Questo ruolo contiene le seguenti autorizzazioni, necessarie per impostare e gestire i criteri IAM per i bucket:
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
storage.buckets.list
- Questa autorizzazione è obbligatoria solo se prevedi di utilizzare la console Google Cloud per eseguire le attività in questa pagina.
Puoi ottenere queste autorizzazioni anche con i ruoli personalizzati.
Aggiungere un'entità a un criterio a livello di bucket
Per un elenco dei ruoli associati a Cloud Storage, vedi Ruoli IAM. Per informazioni sulle entità a cui concedi i ruoli IAM, consulta Identificatori principali.
Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket che vuoi per concedere un ruolo a un'entità.
Seleziona la scheda Autorizzazioni nella parte superiore della pagina.
Fai clic sulla add_box Pulsante Concedi l'accesso.
Viene visualizzata la finestra di dialogo Aggiungi entità.
Nel campo Nuove entità, inserisci una o più identità che richiedono l'accesso al bucket.
Seleziona uno o più ruoli dal menu a discesa Seleziona un ruolo. I ruoli selezionati vengono visualizzati nel riquadro con una breve descrizione le autorizzazioni che concedono.
Fai clic su Salva.
Scopri come ottenere informazioni dettagliate sugli errori di Cloud Storage non riusciti nella console Google Cloud, vedi Risoluzione dei problemi.
Riga di comando
Utilizza il comando buckets add-iam-policy-binding
:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Dove:
BUCKET_NAME
è il nome del bucket che stai concedendo l'accesso all'entità. Ad esempio,my-bucket
.PRINCIPAL_IDENTIFIER
identifica chi sei concedere l'accesso al bucket. Ad esempio,user:jane@gmail.com
. Per un elenco dei formati degli identificatori principali, consulta Identificatori principali.IAM_ROLE
è il ruolo IAM che concedi all'entità. Ad esempio:roles/storage.objectViewer
.
Librerie client
C++
Per ulteriori informazioni, consulta API Cloud Storage C++ documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
C#
Per ulteriori informazioni, consulta API Cloud Storage C# documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Java
Per ulteriori informazioni, consulta API Cloud Storage Java documentazione di riferimento.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Node.js
Per ulteriori informazioni, consulta API Cloud Storage Node.js documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
PHP
Per ulteriori informazioni, consulta API Cloud Storage PHP documentazione di riferimento.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Python
Per ulteriori informazioni, consulta API Cloud Storage Python documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per ulteriori informazioni, consulta API Cloud Storage Ruby documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
API REST
JSON
Avere installato e inizializzato l'interfaccia a riga di comando gcloud, che consente di generare un token di accesso per l'intestazione
Authorization
.Crea un file JSON contenente le seguenti informazioni:
{ "bindings":[ { "role": "IAM_ROLE", "members":[ "PRINCIPAL_IDENTIFIER" ] } ] }
Dove:
IAM_ROLE
è il ruolo IAM che concedi. Ad esempio:roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
identifica chi sei concedere l'accesso al bucket. Ad esempio,user:jane@gmail.com
. Per un dei formati degli identificatori delle entità, consulta la sezione Identificatori entità.
Utilizza
cURL
per chiamare l'API JSON con una richiestaPUT setIamPolicy
:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove:
JSON_FILE_NAME
è il percorso del file che hai creato nel passaggio 2.BUCKET_NAME
è il nome del bucket a cui vuoi concedere l'accesso all'entità. Ad esempio,my-bucket
.
Visualizza il criterio IAM per un bucket
Console
- Nella console Google Cloud, vai alla pagina Bucket di Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket di cui inserisci il criterio che vuoi visualizzare.
Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.
Il criterio IAM applicabile al bucket viene visualizzato in sezione Autorizzazioni.
(Facoltativo) Utilizza la barra Filtro per filtrare i risultati.
Se esegui una ricerca per entità, i risultati mostrano ciascun ruolo dell'entità.
Riga di comando
Usa il comando buckets get-iam-policy
:
gcloud storage buckets get-iam-policy gs://BUCKET_NAME
Dove BUCKET_NAME
è il nome del bucket
di cui vuoi visualizzare il criterio IAM. Ad esempio,
my-bucket
.
Librerie client
C++
Per ulteriori informazioni, consulta API Cloud Storage C++ documentazione di riferimento.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
C#
Per ulteriori informazioni, consulta API Cloud Storage C# documentazione di riferimento.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Go
Per ulteriori informazioni, consulta API Cloud Storage Go documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Java
Per ulteriori informazioni, consulta API Cloud Storage Java documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
PHP
Per ulteriori informazioni, consulta API Cloud Storage PHP documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per ulteriori informazioni, consulta API Cloud Storage Python documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per ulteriori informazioni, consulta API Cloud Storage Ruby documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
API REST
JSON
Avere gcloud CLI installato e inizializzato, che consente generi un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API JSON con una richiestaGET getIamPolicy
:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
dove
BUCKET_NAME
è il nome del bucket di cui vuoi visualizzare il criterio IAM. Ad esempio:my-bucket
.
Rimuovere un'entità da un criterio a livello di bucket
Console
- Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket da cui vuoi per rimuovere il ruolo di un'entità.
Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.
Il criterio IAM che si applica al bucket viene visualizzato nella sezione Autorizzazioni.
Nella scheda Visualizza per entità, seleziona la casella di controllo relativa alla entità che stai rimuovendo.
Fai clic sul pulsante - Rimuovi accesso.
Nella finestra dell'overlay visualizzata, fai clic su Conferma.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta la sezione Risoluzione dei problemi.
Riga di comando
Utilizza il comando buckets remove-iam-policy-binding
:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Dove:
BUCKET_NAME
è il nome del bucket a cui stai revocando l'accesso. Ad esempio,my-bucket
.PRINCIPAL_IDENTIFIER
identifica chi sei revoca dell'accesso da. Ad esempio,user:jane@gmail.com
. Per un elenco di formati di identificatori principali, consulta Identificatori principali.IAM_ROLE
è il ruolo IAM che stai revocando. Ad esempio:roles/storage.objectViewer
.
Librerie client
C++
Per ulteriori informazioni, consulta API Cloud Storage C++ documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Node.js
Per ulteriori informazioni, consulta API Cloud Storage Node.js documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
PHP
Per ulteriori informazioni, consulta API Cloud Storage PHP documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per ulteriori informazioni, consulta API Cloud Storage Python documentazione di riferimento.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
API REST
JSON
Avere installato e inizializzato l'interfaccia a riga di comando gcloud, che consente di generare un token di accesso per l'intestazione
Authorization
.Applica il criterio esistente al tuo bucket. A tale scopo, utilizza
cURL
per chiamare l'API JSON con unaGET getIamPolicy
richiesta:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove
BUCKET_NAME
è il nome del bucket di cui vuoi visualizzare il criterio IAM. Ad esempio:my-bucket
.Crea un file JSON contenente il criterio recuperato nel passaggio precedente.
Modifica il file JSON per rimuovere l'entità dal criterio.
Utilizza
cURL
per chiamare l'API JSON con un RichiestaPUT setIamPolicy
:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove:
JSON_FILE_NAME
è il percorso del file che hai creato nel passaggio 3.BUCKET_NAME
è il nome del bucket da per cui vuoi rimuovere l'accesso. Ad esempio,my-bucket
.
Utilizza le condizioni IAM sui bucket
Le seguenti sezioni mostrano come aggiungere e rimuovere Condizioni IAM sui bucket. Per visualizzare le condizioni IAM per il tuo bucket, consulta la sezione Visualizzazione del criterio IAM per un bucket. Per ulteriori informazioni sull'utilizzo delle condizioni IAM con Cloud Storage, vedi Condizioni.
Devi abilitare l'accesso uniforme a livello di bucket per il bucket prima di aggiungere condizioni.
Imposta una nuova condizione su un bucket
Console
- Nella console Google Cloud, vai alla pagina Bucket di Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket per cui vuoi aggiungere una nuova condizione.
Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.
Il criterio IAM che si applica al bucket viene visualizzato nella sezione Autorizzazioni.
Fai clic su + Concedi accesso.
In Nuove entità, inserisci le entità a cui vuoi concedere l'accesso al tuo bucket.
Per ogni ruolo a cui vuoi applicare una condizione:
Seleziona un Ruolo per concedere le entità.
Fai clic su Aggiungi condizione per aprire il modulo Modifica condizione.
Compila il Titolo della condizione. Il campo Descrizione è facoltativo.
Utilizza il Generatore di condizioni per creare visivamente la tua condizione oppure il Scheda Editor condizioni per inserire l'espressione CEL.
Fai clic su Salva per tornare al modulo Aggiungi entità. Per aggiungere più ruoli, fai clic su Aggiungi un altro ruolo.
Fai clic su Salva.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta la sezione Risoluzione dei problemi.
Riga di comando
Crea un file JSON o YAML che definisce la condizione, inclusi il
title
della condizione, la logica basata sugli attributiexpression
per la condizione e, facoltativamente, undescription
per la condizione.Tieni presente che Cloud Storage supporta solo gli attributi data/ora, tipo di risorsa e nome risorsa in
expression
.Utilizza il comando
buckets add-iam-policy-binding
con il--condition-from-file
flag:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE --condition-from-file=CONDITION_FILE
Dove:
BUCKET_NAME
è il nome del bucket che stai concedendo l'accesso all'entità. Ad esempio,my-bucket
.PRINCIPAL_IDENTIFIER
identifica chi . Ad esempio,user:jane@gmail.com
. Per un dei formati degli identificatori delle entità, consulta la sezione Identificatori entità.IAM_ROLE
è il ruolo IAM che concedi all'entità. Ad esempio:roles/storage.objectViewer
.CONDITION_FILE
è il file che hai creato nell' passaggio precedente.
In alternativa, puoi includere la condizione direttamente nel comando
con il flag --condition
anziché il flag --condition-from-file
.
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Node.js
Per ulteriori informazioni, consulta API Cloud Storage Node.js documentazione di riferimento.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per ulteriori informazioni, consulta API Cloud Storage Python documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per ulteriori informazioni, consulta API Cloud Storage Ruby documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
API REST
JSON
Avere gcloud CLI installato e inizializzato, che consente generi un token di accesso per l'intestazione
Authorization
.Utilizza una richiesta
GET getIamPolicy
per salvare il bucket Criterio IAM a un file JSON temporaneo:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json
Dove
BUCKET_NAME
è il nome dell'evento di sincronizzare la directory di una VM con un bucket. Ad esempio,my-bucket
.Modifica il file
tmp-policy.json
in un editor di testo per aggiungere nuove condizioni alle associazioni nel criterio IAM:{ "version": VERSION, "bindings": [ { "role": "IAM_ROLE", "members": [ "PRINCIPAL_IDENTIFIER" ], "condition": { "title": "TITLE", "description": "DESCRIPTION", "expression": "EXPRESSION" } } ], "etag": "ETAG" }
Dove:
VERSION
è la versione del criterio IAM, che deve essere 3 per i bucket con condizioni IAM.IAM_ROLE
è il ruolo a cui si applica la condizione. Ad esempio,roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
identifica a chi si applica la condizione. Ad esempio,user:jane@gmail.com
. Per un elenco di formati di identificatori principali, consulta Identificatori principali.TITLE
è il titolo della condizione. Ad esempio,expires in 2019
.DESCRIPTION
è una descrizione facoltativa di la condizione. Ad esempio,Permission revoked on New Year's
.EXPRESSION
è un'espressione logica basata sugli attributi. Ad esempio,request.time < timestamp(\"2019-01-01T00:00:00Z\")
. Per maggiori informazioni esempi di espressioni, consulta la sezione Informazioni di riferimento sugli attributi Conditions. Tieni presente che Cloud Storage supporta solo i valori di data/ora, tipo di risorsa e nome risorsa.
Non modificare
ETAG
.Utilizza una richiesta
PUT setIamPolicy
per impostare l'elemento modificato Criterio IAM sul bucket:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove
BUCKET_NAME
è il nome dell'evento di sincronizzare la directory di una VM con un bucket. Ad esempio,my-bucket
.
Rimuovere una condizione da un bucket
Console
- Nella console Google Cloud, vai alla pagina Bucket di Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket che vuoi rimuovere una condizione.
Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.
Il criterio IAM applicabile al bucket viene visualizzato in sezione Autorizzazioni.
Fai clic sull'icona Modifica. edit per l'entità associati alla condizione.
Nell'overlay Modifica accesso visualizzato, fai clic sul nome della condizione da eliminare.
Nell'overlay Modifica condizione visualizzato, fai clic su Elimina. Conferma.
Fai clic su Salva.
Scopri come ottenere informazioni dettagliate sugli errori di Cloud Storage non riusciti nella console Google Cloud, vedi Risoluzione dei problemi.
Riga di comando
Utilizza il comando
buckets get-iam-policy
per salvare il criterio IAM del bucket in un file JSON temporaneo.gcloud storage buckets get-iam-policy gs://BUCKET_NAME > tmp-policy.json
Modifica il file
tmp-policy.json
in un editor di testo per rimuovere le condizioni dal criterio IAM.Utilizza
buckets set-iam-policy
per impostare l'elemento modificato criterio IAM sul bucket.gcloud storage buckets set-iam-policy gs://BUCKET_NAME tmp-policy.json
Esempi di codice
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Go
Per ulteriori informazioni, consulta API Cloud Storage Go documentazione di riferimento.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Node.js
Per ulteriori informazioni, consulta API Cloud Storage Node.js documentazione di riferimento.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per eseguire l'autenticazione su Cloud Storage, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per ulteriori informazioni, consulta API Cloud Storage Ruby documentazione di riferimento.
Per autenticarti a Cloud Storage, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
API REST
JSON
Avere installato e inizializzato l'interfaccia a riga di comando gcloud, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza una richiesta
GET getIamPolicy
per salvare il bucket Criterio IAM a un file JSON temporaneo:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json
Dove
BUCKET_NAME
è il nome del bucket a cui stai concedendo l'accesso. Ad esempio,my-bucket
.Per rimuovere le condizioni, modifica il file
tmp-policy.json
in un editor di testo dal criterio IAM.Utilizza una richiesta
PUT setIamPolicy
per impostare l'elemento modificato Criterio IAM sul bucket:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
dove
BUCKET_NAME
è il nome del bucket di cui vuoi modificare il criterio IAM. Ad esempio,my-bucket
.
Best practice
Devi impostare il ruolo minimo necessario per concedere all'entità principale
l'accesso richiesto. Ad esempio, se un membro del team deve solo leggere gli oggetti archiviati in un bucket, assegnagli il ruolo Visualizzatore oggetti archiviazione (roles/storage.objectViewer
) anziché Amministratore oggetti archiviazione (roles/storage.objectAdmin
). Analogamente, se un membro del team ha bisogno
controllo degli oggetti nel bucket, ma non nel bucket stesso, assegna loro
Amministratore oggetti Storage (roles/storage.objectAdmin
) anziché il ruolo
Amministratore Storage (roles/storage.admin
).
Passaggi successivi
- Scopri come condividere pubblicamente i dati.
- Vedi esempi specifici di condivisione e collaborazione.
- Scopri le best practice per l'utilizzo di IAM.
- Scopri come utilizzare i consigli sui ruoli per i bucket.
- Per risolvere i problemi relativi alle operazioni non riuscite relative ai ruoli IAM autorizzazioni, consulta la sezione Risoluzione dei problemi.