Panoramica del controllo degli accessi

Puoi controllare chi può accedere ai bucket e agli oggetti Cloud Storage e il livello di accesso di cui dispongono.

Scegli tra accesso uniforme e granulare

Quando crei un bucket, devi decidere se applicarlo autorizzazioni mediante accesso uniforme o granulare.

  • Uniforme (opzione consigliata): l'accesso uniforme a livello di bucket ti consente di utilizzare Identity and Access Management (IAM) da solo per gestire le autorizzazioni. IAM applica le autorizzazioni a tutti gli oggetti contenuti all'interno del bucket o dei gruppi oggetti con prefissi di nomi comuni. IAM consente inoltre di utilizzare di funzionalità che non sono disponibili quando si lavora con gli ACL, cartelle gestite, Condizioni IAM, condivisione limitata al dominio e federazione delle identità per la forza lavoro.

  • Granulare: questa opzione ti consente di utilizzare IAM e ACL (Access Control List) per gestire autorizzazioni aggiuntive. Gli ACL sono un sistema di controllo dell'accesso legacy per Cloud Storage progettato per l'interoperabilità con Amazon S3. Gli ACL consentono inoltre di specificare per ogni singolo oggetto.

    Poiché l'accesso granulare richiede di coordinare tra loro di controllo dell'accesso, c'è una maggiore probabilità di dati involontari l'esposizione e il controllo di chi ha accesso alle risorse è più complicato. Soprattutto se hai oggetti che contengono dati sensibili, come che consentono l'identificazione personale, ti consigliamo di archiviarli in un un bucket con accesso uniforme a livello di bucket abilitato.

Utilizzo delle autorizzazioni IAM con gli ACL

Cloud Storage offre due sistemi per concedere agli utenti l'accesso ai tuoi bucket e oggetti: IAM ed elenchi di controllo dell'accesso (ACL). Questi sistemi agire in parallelo per consentire all'utente di accedere a un risorsa, solo uno dei sistemi deve concedere a quell'utente l'autorizzazione. Per Ad esempio, se il criterio IAM del bucket consente solo a pochi utenti di legge dati di oggetti nel bucket, ma uno degli oggetti nel bucket ha un ACL che lo rende leggibile da pubblico, l'oggetto specifico viene esposto pubblico.

Nella maggior parte dei casi, IAM è il metodo consigliato per controllare l'accesso alle tue risorse. IAM controlla le autorizzazioni in tutto Google Cloud e ti consente di concedere autorizzazioni a livello di bucket e progetto diversi. Devi utilizzare IAM per tutte le autorizzazioni applicabili più oggetti in un bucket per ridurre i rischi di esposizione non intenzionale. Per utilizzare Esclusiva IAM, abilita l'accesso uniforme a livello di bucket per non consentire gli ACL per a tutte le risorse Cloud Storage.

Gli ACL controllano le autorizzazioni solo per le risorse Cloud Storage e hanno ma consentono di concedere autorizzazioni per singoli oggetti. Ti consigliamo di utilizzare gli ACL per i seguenti casi d'uso:

  • Personalizza l'accesso ai singoli oggetti all'interno di un bucket.
  • Migrazione dei dati da Amazon S3.

Ulteriori opzioni di controllo dell'accesso

Oltre a IAM e ACL, sono disponibili anche i seguenti strumenti per controllare l'accesso alle tue risorse:

URL firmati (autenticazione stringa di query)

Utilizza URL firmati per concedere a un oggetto l'accesso in lettura o scrittura a tempo limitato tramite un URL generato da te. Tutte le persone con cui condividi l'URL possono accedere ai per il periodo di tempo specificato, indipendentemente dal fatto che avere un account utente.

Puoi utilizzare URL firmati oltre a IAM e ACL. Ad esempio: puoi usare IAM per concedere l'accesso a un bucket solo per persone, quindi crea un URL firmato che consenta ad altri di accedere a un all'interno del bucket.

Scopri come creare URL firmati:

Documenti dei criteri firmati

Utilizza i documenti relativi ai criteri firmati per specificare cosa può essere caricato in un bucket. Norme documenti consentono un maggiore controllo su dimensioni, tipo di contenuti e altri contenuti caratteristiche degli URL firmati e che possono essere utilizzate dai proprietari di siti web per consentire ai visitatori di caricare file in Cloud Storage.

Oltre a IAM e ACL, puoi utilizzare i documenti relativi ai criteri firmati. Ad esempio, puoi utilizzare IAM per consentire agli utenti della tua organizzazione caricare qualsiasi oggetto, quindi creare un documento delle norme firmato che consenta al sito web di ai visitatori di caricare solo oggetti che soddisfano criteri specifici.

Regole di sicurezza Firebase

Utilizza le regole di sicurezza di Firebase per fornire un controllo dell'accesso granulare basato su attributi alle app web e mobile con gli SDK Firebase per Cloud Storage. Ad esempio: puoi specificare chi può caricare o scaricare oggetti, le dimensioni di un oggetto o quando è possibile scaricare un oggetto.

Prevenzione dell'accesso pubblico

Usa la prevenzione dell'accesso pubblico per limitare l'accesso pubblico ai tuoi bucket e di oggetti strutturati. Attivando la prevenzione dell'accesso pubblico, gli utenti che possono accedere tramite allUsers e allAuthenticatedUsers non possono accedere alle e i dati di Google Cloud.

Confini dell'accesso alle credenziali

Usa i limiti dell'accesso alle credenziali per limitare l'ambito delle autorizzazioni che sono disponibili per un token di accesso OAuth 2.0. Innanzitutto, definisci un'autorizzazione di accesso alle credenziali Confine che specifica i bucket a cui può accedere il token, nonché un intervallo superiore associate alle autorizzazioni disponibili nel bucket. Puoi quindi creare un token di accesso OAuth 2.0 e scambiarlo con un nuovo token di accesso che rispetti il confine dell'accesso alle credenziali.

Passaggi successivi