Panoramica del controllo dell'accesso

Puoi controllare chi può accedere ai bucket e agli oggetti Cloud Storage e il livello di accesso.

Scegli tra accesso uniforme e granulare

Quando crei un bucket, devi decidere se applicare le autorizzazioni utilizzando un accesso uniforme o granulare.

  • Uniforme (opzione consigliata): l'accesso uniforme a livello di bucket ti consente di utilizzare Identity and Access Management (IAM) da solo per gestire le autorizzazioni. IAM applica le autorizzazioni a tutti gli oggetti contenuti all'interno del bucket o dei gruppi di oggetti con prefissi di nomi comuni. IAM consente inoltre di utilizzare le funzionalità che non sono disponibili quando si lavora con gli ACL, come cartelle gestite, le condizioni IAM, condivisione limitata al dominio e la federazione delle identità per la forza lavoro.

  • Granulare: questa opzione consente di utilizzare IAM e gli elenchi di controllo dell'accesso (ACL) insieme per gestire le autorizzazioni. Gli ACL sono un sistema di controllo dell'accesso legacy per Cloud Storage progettato per l'interoperabilità con Amazon S3. Consentono inoltre di specificare l'accesso per singolo oggetto.

    Poiché l'accesso granulare richiede di coordinarsi tra due diversi sistemi di controllo dell'accesso'accesso, aumenta la possibilità di esposizione involontaria dei dati, e il controllo di chi ha accesso alle risorse è più complicato. In particolare se hai oggetti che contengono dati sensibili, ad esempio informazioni che consentono l'identificazione personale, ti consigliamo di archiviarli in un bucket con accesso uniforme a livello di bucket abilitato.

Utilizzo delle autorizzazioni IAM con gli ACL

Cloud Storage offre due sistemi per concedere agli utenti l'accesso ai bucket e agli oggetti: IAM ed elenchi di controllo dell'accesso (ACL). Questi sistemi agiscono in parallelo: affinché un utente possa accedere a una risorsa Cloud Storage, solo uno dei sistemi deve concedere l'autorizzazione dell'utente. Ad esempio, se il criterio IAM del bucket consente solo a pochi utenti di leggere i dati degli oggetti nel bucket, ma uno degli oggetti nel bucket ha un ACL che lo rende leggibile pubblicamente, l'oggetto specifico è esposto al pubblico.

Nella maggior parte dei casi, IAM è il metodo consigliato per controllare l'accesso alle risorse. IAM controlla le autorizzazioni in tutto Google Cloud e permette di concedere autorizzazioni a livello di bucket e progetto. È consigliabile utilizzare IAM per tutte le autorizzazioni che si applicano a più oggetti in un bucket al fine di ridurre i rischi di esposizione involontaria. Per utilizzare esclusivamente IAM, abilita l'accesso uniforme a livello di bucket in modo da non consentire gli ACL per tutte le risorse Cloud Storage.

Gli ACL controllano le autorizzazioni solo per le risorse Cloud Storage e hanno opzioni di autorizzazione limitate, ma consentono di concedere autorizzazioni per singoli oggetti. Ti consigliamo di utilizzare gli ACL per i seguenti casi d'uso:

  • Personalizza l'accesso ai singoli oggetti all'interno di un bucket.
  • Migrazione dei dati da Amazon S3.

Ulteriori opzioni di controllo dell'accesso dell'accesso

Oltre a IAM e ACL, sono disponibili i seguenti strumenti per aiutarti a controllare l'accesso alle tue risorse:

URL firmati (autenticazione stringa di query)

Utilizza URL firmati per concedere a un oggetto l'accesso in lettura o scrittura a tempo limitato tramite un URL generato da te. Chiunque con cui condividi l'URL può accedere all'oggetto per il periodo di tempo specificato, indipendentemente dal fatto che disponga o meno di un account utente.

Puoi utilizzare URL firmati oltre a IAM e ACL. Ad esempio, puoi utilizzare IAM per concedere l'accesso a un bucket solo per poche persone e poi creare un URL firmato che consenta ad altri di accedere a una risorsa specifica all'interno del bucket.

Scopri come creare URL firmati:

Documenti dei criteri firmati

Utilizza i documenti relativi ai criteri firmati per specificare cosa può essere caricato in un bucket. I documenti relative ai criteri consentono un maggiore controllo su dimensioni, tipo di contenuti e altre caratteristiche di caricamento rispetto agli URL firmati e possono essere utilizzati dai proprietari dei siti web per consentire ai visitatori di caricare file su Cloud Storage.

Oltre a IAM e ACL, puoi utilizzare i documenti relativi ai criteri firmati. Ad esempio, puoi utilizzare IAM per consentire agli utenti della tua organizzazione di caricare qualsiasi oggetto, quindi creare un documento dei criteri firmato che consenta ai visitatori del sito web di caricare solo oggetti che soddisfano criteri specifici.

Regole di sicurezza Firebase

Utilizza le regole di sicurezza di Firebase per fornire controllo dell'accesso granulare, basato su attributi, alle app web e per dispositivi mobili utilizzando gli SDK Firebase per Cloud Storage. Ad esempio, puoi specificare chi può caricare o scaricare oggetti, quanto può essere grande un oggetto o quando può essere scaricato.

Prevenzione dell'accesso pubblico

Utilizza la prevenzione dell'accesso pubblico per limitare l'accesso pubblico ai bucket e agli oggetti. Quando attivi la prevenzione dell'accesso pubblico, gli utenti che ottengono l'accesso tramite allUsers e allAuthenticatedUsers non possono accedere ai dati.

Confini dell'accesso alle credenziali

Utilizza i limiti dell'accesso alle credenziali per limitare l'ambito delle autorizzazioni disponibili per un token di accesso OAuth 2.0. Innanzitutto, devi definire un confine dell'accesso alle credenziali che specifica i bucket a cui può accedere il token, nonché un limite superiore alle autorizzazioni disponibili nel bucket. In seguito, potrai creare un token di accesso OAuth 2.0 e scambiarlo con un nuovo token di accesso che rispetti il confine dell'accesso alle credenziali.

Passaggi successivi