Tú controlas quién tiene acceso a tus segmentos y objetos de Cloud Storage, así como el nivel de acceso.
Elegir entre acceso uniforme y detallado
Cuando creas un contenedor, debes decidir si quieres aplicar permisos con acceso uniforme o preciso.
Uniforme (opción recomendada): acceso uniforme a nivel de segmento te permite usar solo Gestión de Identidades y Accesos (IAM) para gestionar los permisos. Gestión de identidades y accesos aplica permisos a todos los objetos contenidos en el segmento o a grupos de objetos con prefijos de nombre comunes. La gestión de identidades y accesos también te permite usar funciones que no están disponibles cuando trabajas con listas de control de acceso, como las carpetas gestionadas, las condiciones de gestión de identidades y accesos, el uso compartido restringido por dominio y la federación de identidades para los trabajadores.
Granular: la opción granular te permite usar IAM y listas de control de acceso (LCA) conjuntamente para gestionar permisos. Las listas de control de acceso son un sistema de control de acceso antiguo de Cloud Storage diseñado para interoperar con Amazon S3. Las listas de control de acceso también le permiten especificar el acceso por objeto.
Dado que el acceso pormenorizado requiere que coordines dos sistemas de control de acceso diferentes, hay más probabilidades de que los datos se expongan de forma involuntaria y es más complicado auditar quién tiene acceso a los recursos. Sobre todo si tiene objetos que contienen datos sensibles, como información personal identificable, le recomendamos que almacene esos datos en un contenedor con acceso uniforme a nivel de contenedor habilitado.
Usar permisos de gestión de identidades y accesos con LCAs
Cloud Storage ofrece dos sistemas para conceder a los usuarios acceso a tus segmentos y objetos: Gestión de Identidades y Accesos (IAM) y listas de control de acceso (LCAs). Estos sistemas actúan en paralelo. Para que un usuario pueda acceder a un recurso de Cloud Storage, solo uno de los sistemas debe concederle permiso. Por ejemplo, si la política de gestión de identidades y accesos de tu segmento solo permite que unos pocos usuarios lean los datos de los objetos del segmento, pero uno de los objetos del segmento tiene una LCA que permite que se pueda leer públicamente, ese objeto concreto estará expuesto al público.
En la mayoría de los casos, IAM es el método recomendado para controlar el acceso a tus recursos. Gestión de Identidades y Accesos controla los permisos en todo Google Cloud y te permite conceder permisos a nivel de segmento y de proyecto. Debe usar la gestión de identidades y accesos para los permisos que se apliquen a varios objetos de un segmento para reducir los riesgos de exposición no intencionada. Para usar IAM exclusivamente, habilita el acceso uniforme a nivel de segmento para inhabilitar las LCA de todos los recursos de Cloud Storage.
Las LCAs solo controlan los permisos de los recursos de Cloud Storage y tienen opciones de permisos limitadas, pero te permiten conceder permisos por objeto. Lo más probable es que quieras usar las listas de control de acceso en los siguientes casos prácticos:
- Personalizar el acceso a objetos concretos de un segmento.
- Migrar datos desde Amazon S3.
Opciones de control de acceso adicionales
Además de la gestión de identidades y accesos y las listas de control de acceso, puedes usar las siguientes herramientas para controlar el acceso a tus recursos:
URLs firmadas (autenticación de cadena de consulta)
Usa URLs firmadas para dar acceso de lectura o escritura a un objeto durante un tiempo limitado a través de una URL que generes. Cualquier persona con la que compartas la URL podrá acceder al objeto durante el periodo que especifiques, independientemente de si tiene una cuenta de usuario o no.
Puedes usar URLs firmadas además de IAM y las LCAs. Por ejemplo, puedes usar IAM para conceder acceso a un contenedor solo a unas pocas personas y, a continuación, crear una URL firmada que permita a otros usuarios acceder a un recurso específico del contenedor.
Consulta cómo crear URLs firmadas:
Documentos de políticas firmados
Usa documentos de políticas firmados para especificar qué se puede subir a un contenedor. Los documentos de políticas permiten tener un mayor control sobre el tamaño, el tipo de contenido y otras características de las subidas que las URLs firmadas. Los propietarios de sitios web pueden usarlos para permitir que los visitantes suban archivos a Cloud Storage.
Puedes usar documentos de políticas firmados además de la gestión de identidades y accesos y las LCAs. Por ejemplo, puedes usar IAM para permitir que los usuarios de tu organización suban cualquier objeto y, a continuación, crear un documento de política firmado que permita a los visitantes del sitio web subir solo los objetos que cumplan criterios específicos.
Reglas de seguridad de Firebase
Usa las reglas de seguridad de Firebase para proporcionar un control de acceso granular basado en atributos a las aplicaciones móviles y web que usen los SDKs de Firebase para Cloud Storage. Por ejemplo, puede especificar quién puede subir o descargar objetos, el tamaño máximo de un objeto o cuándo se puede descargar un objeto.
Prevención del acceso público
Usa la prevención de acceso público para restringir el acceso público a tus segmentos y objetos. Si habilitas la prevención de acceso público, los usuarios que obtengan acceso a través de allUsers
y allAuthenticatedUsers
no podrán acceder a los datos.
Límites de acceso a credenciales
Usa límites de acceso a credenciales para reducir los permisos disponibles para un token de acceso de OAuth 2.0. Primero, define un límite de acceso de credenciales que especifique a qué segmentos puede acceder el token, así como un límite superior de los permisos disponibles en ese segmento. Después, puedes crear un token de acceso OAuth 2.0 e intercambiarlo por un nuevo token de acceso que respete el límite de acceso a las credenciales.
Filtrado de IPs de los contenedores
Usa el filtro de IP de los contenedores para restringir el acceso a tu contenedor en función de la dirección IP de origen de la solicitud. El filtrado de IP de los contenedores añade una capa de seguridad que impide que redes no autorizadas accedan a tu contenedor y a sus datos. Puede configurar una lista de intervalos de direcciones IP permitidas, incluidas direcciones IP públicas, intervalos de direcciones IP públicas y direcciones IP de su nube privada virtual. Se bloquearán todas las solicitudes procedentes de una dirección IP que no esté en tu lista. Por lo tanto, solo los usuarios autorizados podrán acceder a tu contenedor.
Siguientes pasos
- Consulta cómo usar los permisos de gestión de identidades y accesos.
- Consulta los permisos y roles de gestión de identidades y accesos específicos de Cloud Storage.
- Consulte ejemplos de casos de uso compartido y colaboración que implican la configuración de ACLs de cubos y objetos.
- Consulta cómo hacer que tus datos sean accesibles para todos los usuarios de Internet.
- Consulta más información sobre cuándo usar una URL firmada.