במאמר הזה נסביר איך לשלוט בגישה לקטגוריות ולאובייקטים באמצעות הרשאות לניהול זהויות והרשאות גישה (IAM). IAM מאפשר לקבוע למי תהיה גישה לקטגוריות ולאובייקטים שלכם.
לדרכים נוספות של בקרת גישה לקטגוריות ולאובייקטים קראו את המאמר סקירה כללית על בקרת גישה. להסבר איך לשלוט בגישה לאובייקטים נפרדים בקטגוריות, ראו את המאמר רשימות של בקרת גישה.
השימוש ב-IAM עם קטגוריות
החלקים הבאים מסבירים איך לבצע משימות בסיסיות של IAM על קטגוריות.
הוספת חשבון משתמש למדיניות ברמת הקטגוריה
לרשימת התפקידים שמשויכים ל-Cloud Storage, ראו את המאמר תפקידים ב-IAM. למידע על הישויות שעבורן מעניקים תפקידי IAM, ראו את המאמר מזהים של חשבונות משתמשים.
מסוף
- במסוף Google Cloud, נכנסים לדף Buckets ב-Cloud Storage.
ברשימת הקטגוריות, לוחצים על שם הקטגוריה שבה רוצים להעניק תפקיד לחשבון המשתמש.
לוחצים על הכרטיסייה Permissions בחלק העליון של הדף.
לוחצים על add_box Grant access.
מופיעה תיבת הדו-שיח Add principals.
בשדה New principals, מזינים זהות אחת או יותר שצריכות גישה לקטגוריה.
בוחרים תפקיד (או תפקידים) בתפריט הנפתח Select a role. התפקידים שבחרתם יופיעו בחלונית עם תיאור קצר של ההרשאות שהם מעניקים.
לוחצים על Save.
למידע מפורט על שגיאות בקשר לפעולות Cloud Storage שנכשלו במסוף Google Cloud, ראו את המאמר פתרון בעיות.
שורת הפקודה
gcloud
משתמשים בפקודה buckets add-iam-policy-binding
:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
כאשר:
BUCKET_NAME
- שם הקטגוריה שאליה מעניקים גישה לחשבון המשתמש. לדוגמה,my-bucket
.PRINCIPAL_IDENTIFIER
- מזהה למי אתם מעניקים גישה לקטגוריה. לדוגמה,user:jane@gmail.com
. לרשימת הפורמטים של מזהי חשבון משתמש ראו מזהים של חשבון משתמש.IAM_ROLE
- תפקיד ה-IAM שמעניקים לחשבון המשתמש. לדוגמה,roles/storage.objectViewer
.
gsutil
משתמשים בפקודה gsutil iam ch
:
gsutil iam ch PRINCIPAL_IDENTIFIER:IAM_ROLE gs://BUCKET_NAME
כאשר:
PRINCIPAL_IDENTIFIER
- מזהה למי אתם מעניקים גישה לקטגוריה. לדוגמה,user:jane@gmail.com
. לרשימת הפורמטים של מזהי חשבון משתמש ראו מזהים של חשבון משתמש.IAM_ROLE
- תפקיד ה-IAM שמעניקים לחשבון המשתמש. לדוגמה,roles/storage.objectViewer
.BUCKET_NAME
- שם הקטגוריה שאליה מעניקים גישה לחשבון המשתמש. לדוגמה,my-bucket
.
דוגמאות נוספות לפורמט של PRINCIPAL_IDENTIFIER:IAM_ROLE
זמינות בדף העזר של gsutil iam ch
.
ספריות לקוח
C++
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage C++ API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
C#
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage C# API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Go
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Go API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Java
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Java API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Node.js
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Node.js API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
PHP
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage PHP API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Python
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Python API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Ruby
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Ruby API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
JSON
- מקבלים אסימון גישה להרשאה מ-OAuth 2.0 Playground. אפשר להגדיר את מגרש המשחקים לשימוש בפרטי הכניסה שלכם ל-OAuth. להוראות מפורטות עיינו במאמר אימות API.
יוצרים קובץ JSON שמכיל את הפרטים הבאים:
{ "bindings":[ { "role": "IAM_ROLE", "members":[ "PRINCIPAL_IDENTIFIER" ] } ] }
כאשר:
IAM_ROLE
- תפקיד ה-IAM שמעניקים. לדוגמה,roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
- מזהה למי אתם מעניקים גישה לקטגוריה. לדוגמה,user:jane@gmail.com
. לרשימת הפורמטים של מזהי חשבון משתמש ראו מזהים של חשבון משתמש.
כדי להפעיל את JSON API באמצעות בקשת
PUT setIamPolicy
, משתמשים ב-cURL
:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
כאשר:
JSON_FILE_NAME
הוא הנתיב לקובץ שיצרתם בשלב 2.OAUTH2_TOKEN
הוא אסימון הגישה שיצרתם בשלב 1.BUCKET_NAME
הוא שם הקטגוריה שאליה אתם רוצים לתת גישה לחשבון המשתמש. לדוגמה,my-bucket
.
הצגת מדיניות IAM של קטגוריה
מסוף
- במסוף Google Cloud, נכנסים לדף Buckets ב-Cloud Storage.
לוחצים על התפריט Bucket overflow () שמשויך לקטגוריה שאת המדיניות שלה רוצים להציג.
בוחרים Edit access.
מרחיבים את התפקיד הרצוי כדי להציג את חשבונות המשתמשים בעלי התפקיד הזה.
(אופציונלי) אפשר להשתמש בסרגל החיפוש כדי לסנן את התוצאות לפי תפקיד או לפי חשבון משתמש.
אם מחפשים לפי חשבון משתמש, בתוצאות יוצגו כל התפקידים שהוענקו לו.
שורת הפקודה
gcloud
משתמשים בפקודה buckets get-iam-policy
:
gcloud storage buckets get-iam-policy gs://BUCKET_NAME
כאשר BUCKET_NAME
הוא שם הקטגוריה שאת מדיניות ה-IAM שלה רוצים להציג. לדוגמה, my-bucket
.
gsutil
משתמשים בפקודה gsutil iam get
:
gsutil iam get gs://BUCKET_NAME
כאשר BUCKET_NAME
הוא שם הקטגוריה שאת מדיניות ה-IAM שלה רוצים להציג. לדוגמה, my-bucket
.
ספריות לקוח
C++
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage C++ API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
C#
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage C# API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Go
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Go API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Java
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Java API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Node.js
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Node.js API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
PHP
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage PHP API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Python
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Python API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Ruby
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Ruby API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
JSON
- מקבלים אסימון גישה להרשאה מ-OAuth 2.0 Playground. אפשר להגדיר את מגרש המשחקים לשימוש בפרטי הכניסה שלכם ל-OAuth. להוראות מפורטות עיינו במאמר אימות API.
כדי להפעיל את JSON API באמצעות בקשת
GET getIamPolicy
, משתמשים ב-cURL
:curl -X GET \ -H "Authorization: Bearer OAUTH2_TOKEN" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
כאשר:
OAUTH2_TOKEN
הוא אסימון הגישה שיצרתם בשלב 1.BUCKET_NAME
- שם הקטגוריה שאת מדיניות ה-IAM שלה רוצים להציג. לדוגמה,my-bucket
.
הסרת חשבון משתמש ממדיניות ברמת הקטגוריה
מסוף
- במסוף Google Cloud, נכנסים לדף Buckets ב-Cloud Storage.
לוחצים על התפריט Bucket overflow () שמשויך לקטגוריה שממנה רוצים להסיר את התפקיד של חשבון המשתמש.
בוחרים Edit access.
מרחיבים את התפקיד שמכיל את חשבון המשתמש שרוצים להסיר.
לוחצים על סמל האשפה.
בחלון שכבת-העל שמופיע, לוחצים על Remove.
למידע מפורט על שגיאות בקשר לפעולות Cloud Storage שנכשלו במסוף Google Cloud, ראו את המאמר פתרון בעיות.
שורת הפקודה
gcloud
משתמשים בפקודה buckets remove-iam-policy-binding
:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
כאשר:
BUCKET_NAME
- שם הקטגוריה שאליה רוצים לבטל את הגישה. לדוגמה,my-bucket
.PRINCIPAL_IDENTIFIER
- מזהה ממי אתם מבטלים את הגישה. לדוגמה,user:jane@gmail.com
. לרשימת הפורמטים של מזהי חשבון משתמש ראו מזהים של חשבון משתמש.IAM_ROLE
- תפקיד ה-IAM שרוצים לבטל. לדוגמה,roles/storage.objectViewer
.
gsutil
משתמשים בפקודה gsutil iam ch
עם הדגל -d
:
gsutil iam ch -d PRINCIPAL_IDENTIFIER gs://BUCKET_NAME
כאשר:
PRINCIPAL_IDENTIFIER
- מזהה ממי אתם מבטלים את הגישה. לדוגמה,user:jane@gmail.com
. לרשימת הפורמטים של מזהי חשבון משתמש ראו מזהים של חשבון משתמש.BUCKET_NAME
- שם הקטגוריה שממנה רוצים להסיר את הגישה. לדוגמה,my-bucket
.
דוגמאות נוספות לפורמט של PRINCIPAL_IDENTIFIER
זמינות בדף העזר של gsutil iam ch
.
ספריות לקוח
C++
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage C++ API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
C#
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage C# API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Go
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Go API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Java
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Java API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Node.js
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Node.js API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
PHP
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage PHP API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Python
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Python API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Ruby
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Ruby API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
JSON
- מקבלים אסימון גישה להרשאה מ-OAuth 2.0 Playground. אפשר להגדיר את מגרש המשחקים לשימוש בפרטי הכניסה שלכם ל-OAuth. להוראות מפורטות עיינו במאמר אימות API.
מחילים את המדיניות הקיימת על הקטגוריה. לשם כך, משתמשים ב-
cURL
כדי להפעיל את JSON API באמצעות בקשתGET getIamPolicy
:curl -X GET \ -H "Authorization: Bearer OAUTH2_TOKEN" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
כאשר:
OAUTH2_TOKEN
הוא אסימון הגישה שיצרתם בשלב 1.BUCKET_NAME
- שם הקטגוריה שאת מדיניות ה-IAM שלה רוצים להציג. לדוגמה,my-bucket
.
יוצרים קובץ JSON שמכיל את המדיניות שאחזרתם בשלב הקודם.
עורכים את קובץ ה-JSON כדי להסיר מהמדיניות את חשבון המשתמש.
כדי להפעיל את JSON API באמצעות בקשת
PUT setIamPolicy
, משתמשים ב-cURL
:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
כאשר:
JSON_FILE_NAME
- הנתיב לקובץ שיצרתם בשלב 3.OAUTH2_TOKEN
הוא אסימון הגישה שיצרתם בשלב 1.BUCKET_NAME
- שם הקטגוריה שרוצים לבטל את הגישה אליה. לדוגמה,my-bucket
.
שימוש בתנאי IAM בקטגוריות
החלקים הבאים מסבירים איך להוסיף ולהסיר תנאי IAM בקטגוריות. כדי לראות את תנאי ה-IAM עבור הקטגוריה שלכם, עיינו במאמר הצגת מדיניות IAM בקטגוריה. למידע נוסף על השימוש בתנאי IAM עם Cloud Storage, ראו את המאמר תנאים.
לפני שמוסיפים תנאים צריך להפעיל גישה אחידה ברמת הקטגוריה.
הגדרת תנאי חדש בקטגוריה
מסוף
- במסוף Google Cloud, נכנסים לדף Buckets ב-Cloud Storage.
לוחצים על התפריט Bucket overflow () בפינה הימנית הרחוקה של השורה המשויכת לקטגוריה.
בוחרים Edit access.
לוחצים על Add principal.
בשדה New principals, ממלאים את חשבונות המשתמשים שרוצים להעניק להם גישה לקטגוריה.
עבור כל תפקיד שרוצים להחיל עליו תנאי:
בוחרים Role כדי להעניק אותו לחשבונות המשתמשים.
לוחצים על Add condition כדי לפתוח את הטופס Edit condition.
ממלאים את Title - הכותרת של התנאי. השדה Description הוא אופציונלי.
אפשר להשתמש בכלי ליצירת תנאים (Condition Builder) כדי ליצור את התנאי באופן חזותי. לחלופין, אפשר להשתמש בכרטיסייה Condition Editor כדי להזין ביטוי CEL.
לוחצים על Save כדי לחזור לטופס Add principal. כדי להוסיף מספר תפקידים, לוחצים על Add another role.
לוחצים על Save.
למידע מפורט על שגיאות בקשר לפעולות Cloud Storage שנכשלו במסוף Google Cloud, ראו את המאמר פתרון בעיות.
שורת הפקודה
gcloud
יוצרים קובץ JSON או YAML שמגדיר את התנאי, כולל:
title
- הכותרת של התנאי,expression
- הלוגיקה מבוססת המאפיינים של התנאי, ואם רוציםdescription
- תיאור של התנאי.שימו לב שעבור הלוגיקה של
expression
, Cloud Storage תומך רק במאפיינים תאריך/שעה, סוג המשאב ושם המשאב.משתמשים בפקודה
buckets add-iam-policy-binding
עם הדגל--condition-from-file
:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE --condition-from-file=CONDITION_FILE
כאשר:
BUCKET_NAME
- שם הקטגוריה שאליה מעניקים גישה לחשבון המשתמש. לדוגמה,my-bucket
.PRINCIPAL_IDENTIFIER
- מציין על מי חל התנאי. לדוגמה,user:jane@gmail.com
. לרשימת הפורמטים של מזהי חשבון משתמש ראו מזהים של חשבון משתמש.IAM_ROLE
- תפקיד ה-IAM שמעניקים לחשבון המשתמש. לדוגמה,roles/storage.objectViewer
.CONDITION_FILE
- הקובץ שיצרתם בשלב הקודם.
לחלופין, אפשר לכלול את התנאי ישירות בפקודה עם הדגל --condition
במקום הדגל --condition-from-file
.
gsutil
משתמשים בפקודה
gsutil iam
כדי לשמור את מדיניות ה-IAM של הקטגוריה בקובץ JSON זמני.gsutil iam get gs://BUCKET_NAME > tmp-policy.json
כאשר
BUCKET_NAME
הוא שם הקטגוריה שאת מדיניות ה-IAM שלה רוצים לאחזר. לדוגמה,my-bucket
.כדי להוסיף תנאים חדשים לקישור במדיניות IAM, עורכים את הקובץ
tmp-policy.json
בכלי לעריכת טקסט:{ "version": VERSION, "bindings": [ { "role": "IAM_ROLE", "members": [ "PRINCIPAL_IDENTIFIER" ], "condition": { "title": "TITLE", "description": "DESCRIPTION", "expression": "EXPRESSION" } } ], "etag": "ETAG" }
כאשר:
VERSION
- הגרסה של מדיניות ה-IAM. לצורך קטגוריות עם תנאים ב-IAM הגרסה צריכה להיות 3.IAM ROLE
- התפקיד שעליו חל התנאי. לדוגמה,roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
- מציין על מי חל התנאי. לדוגמה,user:jane@gmail.com
. לרשימת הפורמטים של מזהי חשבון משתמש ראו מזהים של חשבון משתמש.TITLE
- הכותרת של התנאי. לדוגמה,expires in 2019
.DESCRIPTION
- תיאור אופציונלי של התנאי. לדוגמה,Permission revoked on New Year's
.EXPRESSION
- ביטוי לוגי מבוסס-מאפיינים. לדוגמה,request.time < timestamp(\"2019-01-01T00:00:00Z\")
. דוגמאות נוספות לביטויים זמינות בחומר העזר על המאפיין 'תנאים'. שימו לב ש-Cloud Storage תומך רק במאפיינים תאריך/שעה, סוג המשאב ושם המשאב.
אין לבצע שינויים ב-
ETAG
.משתמשים ב-
gsutil iam
כדי להגדיר את מדיניות ה-IAM ששונתה בקטגוריה.gsutil iam set tmp-policy.json gs://BUCKET_NAME
ספריות לקוח
C++
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage C++ API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
C#
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage C# API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Go
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Go API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Java
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Java API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Node.js
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Node.js API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
PHP
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage PHP API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Python
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Python API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Ruby
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Ruby API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
JSON
- מקבלים אסימון גישה להרשאה מ-OAuth 2.0 Playground. אפשר להגדיר את מגרש המשחקים לשימוש בפרטי הכניסה שלכם ל-OAuth. להוראות מפורטות עיינו במאמר אימות API.
משתמשים בבקשה
GET getIamPolicy
כדי לשמור את מדיניות ה-IAM של הקטגוריה בקובץ JSON זמני:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer OAUTH2_TOKEN' > tmp-policy.json
כאשר:
OAUTH2_TOKEN
הוא אסימון הגישה שיצרתם בשלב 1.
כדי להוסיף תנאים חדשים לקישור במדיניות IAM, עורכים את הקובץ
tmp-policy.json
בכלי לעריכת טקסט:{ "version": VERSION, "bindings": [ { "role": "IAM_ROLE", "members": [ "PRINCIPAL_IDENTIFIER" ], "condition": { "title": "TITLE", "description": "DESCRIPTION", "expression": "EXPRESSION" } } ], "etag": "ETAG" }
כאשר:
VERSION
- הגרסה של מדיניות ה-IAM. לצורך קטגוריות עם תנאים ב-IAM הגרסה צריכה להיות 3.IAM_ROLE
- התפקיד שעליו חל התנאי. לדוגמה,roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
- מציין על מי חל התנאי. לדוגמה,user:jane@gmail.com
. לרשימת הפורמטים של מזהי חשבון משתמש ראו מזהים של חשבון משתמש.TITLE
- הכותרת של התנאי. לדוגמה,expires in 2019
.DESCRIPTION
- תיאור אופציונלי של התנאי. לדוגמה,Permission revoked on New Year's
.EXPRESSION
- ביטוי לוגי מבוסס-מאפיינים. לדוגמה,request.time < timestamp(\"2019-01-01T00:00:00Z\")
. דוגמאות נוספות לביטויים זמינות בחומר העזר על המאפיין 'תנאים'. שימו לב ש-Cloud Storage תומך רק במאפיינים תאריך/שעה, סוג המשאב ושם המשאב.אין לבצע שינויים ב-
ETAG
.
משתמשים בבקשה
PUT setIamPolicy
כדי להגדיר את מדיניות ה-IAM שהשתנתה בקטגוריה:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
כאשר:
OAUTH2_TOKEN
הוא אסימון הגישה שיצרתם בשלב 1.
הסרת תנאי מקטגוריה
מסוף
- במסוף Google Cloud, נכנסים לדף Buckets ב-Cloud Storage.
לוחצים על התפריט Bucket overflow () בפינה הימנית הרחוקה של השורה המשויכת לקטגוריה.
בוחרים Edit access.
מרחיבים את התפקיד שמכיל את התנאי שרוצים להסיר.
לוחצים על התפריט Edit () עבור חשבון המשתמש שמשויך לתנאי.
בשכבת-העל Edit access, לוחצים על השם של התנאי שרוצים למחוק.
בשכבת-העל של Edit condition, לוחצים על Delete ואז על Confirm.
לוחצים על Save.
למידע מפורט על שגיאות בקשר לפעולות Cloud Storage שנכשלו במסוף Google Cloud, ראו את המאמר פתרון בעיות.
שורת הפקודה
gcloud
משתמשים בפקודה
buckets get-iam-policy
כדי לשמור את מדיניות ה-IAM של הקטגוריה בקובץ JSON זמני.gcloud storage buckets get-iam-policy gs://BUCKET_NAME > tmp-policy.json
עורכים את הקובץ
tmp-policy.json
בכלי לעריכת טקסט כדי להסיר תנאים ממדיניות ה-IAM.משתמשים ב-
buckets set-iam-policy
כדי להגדיר את מדיניות ה-IAM ששונתה בקטגוריה.gcloud storage buckets set-iam-policy gs://BUCKET_NAME tmp-policy.json
gsutil
משתמשים בפקודה
gsutil iam
כדי לשמור את מדיניות ה-IAM של הקטגוריה בקובץ JSON זמני.gsutil iam get gs://BUCKET_NAME > tmp-policy.json
עורכים את הקובץ
tmp-policy.json
בכלי לעריכת טקסט כדי להסיר תנאים ממדיניות ה-IAM.משתמשים ב-
gsutil iam
כדי להגדיר את מדיניות ה-IAM ששונתה בקטגוריה.gsutil iam set tmp-policy.json gs://BUCKET_NAME
דוגמאות קוד
C++
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage C++ API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
C#
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage C# API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Go
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Go API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Java
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Java API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Node.js
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Node.js API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
PHP
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage PHP API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Python
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Python API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Ruby
למידע נוסף, תוכלו לקרוא את חומרי העזר של Cloud Storage Ruby API.
כדי לאמת ב-Cloud Storage, יש להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
JSON
- מקבלים אסימון גישה להרשאה מ-OAuth 2.0 Playground. אפשר להגדיר את מגרש המשחקים לשימוש בפרטי הכניסה שלכם ל-OAuth. להוראות מפורטות עיינו במאמר אימות API.
משתמשים בבקשה
GET getIamPolicy
כדי לשמור את מדיניות ה-IAM של הקטגוריה בקובץ JSON זמני:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer OAUTH2_TOKEN' > tmp-policy.json
כאשר:
BUCKET_NAME
- שם הקטגוריה שעבורה מעניקים גישה. לדוגמה,my-bucket
.OAUTH2_TOKEN
הוא אסימון הגישה שיצרתם בשלב 1.
עורכים את הקובץ
tmp-policy.json
בכלי לעריכת טקסט כדי להסיר תנאים ממדיניות ה-IAM.משתמשים בבקשה
PUT setIamPolicy
כדי להגדיר את מדיניות ה-IAM שהשתנתה בקטגוריה:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
כאשר:
OAUTH2_TOKEN
הוא אסימון הגישה שיצרתם בשלב 1.BUCKET_NAME
- שם הקטגוריה שאת מדיניות ה-IAM שלה רוצים לשנות. לדוגמה,my-bucket
.
שימוש ב-IAM עם פרויקטים
למדריכים לגבי הענקה וביטול של תפקידי IAM ברמת הפרויקט ומעלה, ראו את המאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.
המאמרים הבאים
- איך לשתף נתונים באופן ציבורי
- דוגמאות ספציפיות לשיתוף נתונים ולשיתוף פעולה.
- מידע על האפשרויות לשליטה בגישה לנתונים שלכם.
- שיטות מומלצות לשימוש ב-IAM
- איך משתמשים בהמלצות לגבי תפקידים בקטגוריות