Panoramica del controllo degli accessi

Puoi stabilire chi ha accesso ai tuoi bucket e ai tuoi oggetti Cloud Storage e il livello di accesso.

Scegli tra accesso uniforme e granulare

Quando crei un bucket, devi decidere se applicare le autorizzazioni utilizzando un accesso uniforme o granulare.

  • Uniforme (consigliato): l'accesso uniforme a livello di bucket ti consente di utilizzare unicamente Identity and Access Management (IAM) per gestire le autorizzazioni. IAM applica le autorizzazioni a tutti gli oggetti contenuti all'interno del bucket o ai gruppi di oggetti con prefissi di nomi comuni. IAM ti consente inoltre di utilizzare funzionalità non disponibili quando lavori con le ACL, ad esempio cartelle gestite, condizioni IAM, condivisione con restrizioni del dominio e federazione delle identità per la forza lavoro.

  • Granulare: l'opzione granulare ti consente di utilizzare insieme IAM e gli elenchi di controllo dell'accesso (ACL) per gestire le autorizzazioni. Gli ACL sono un sistema di controllo dell'accesso dell'accesso precedente per Cloud Storage progettato per l'interoperabilità con Amazon S3. Le ACL consentono inoltre di specificare l'accesso in base all'oggetto.

    Poiché l'accesso granulare richiede il coordinamento tra due diversi sistemi di controllo dell'accesso'accesso, aumenta la probabilità di esposizione non intenzionale dei dati e il controllo di chi ha accesso alle risorse è più complicato. In particolare, se hai oggetti che contengono dati sensibili, come informazioni che consentono l'identificazione personale, ti consigliamo di archiviarli in un bucket con accesso uniforme a livello di bucket abilitato.

Utilizzo delle autorizzazioni IAM con le ACL

Cloud Storage offre due sistemi per concedere agli utenti l'accesso ai tuoi bucket e ai tuoi oggetti: IAM ed elenchi di controllo dell'accesso (ACL). Questi sistemi agiscono in parallelo: affinché un utente possa accedere a una risorsa Cloud Storage, è sufficiente che uno dei sistemi conceda l'autorizzazione. Ad esempio, se il criterio IAM del bucket consente solo a pochi utenti di leggere i dati degli oggetti al suo interno, ma uno degli oggetti del bucket ha un ACL che lo rende pubblicamente leggibile, questo oggetto specifico è esposto al pubblico.

Nella maggior parte dei casi, IAM è il metodo consigliato per controllare l'accesso alle risorse. IAM controlla le autorizzazioni in Google Cloud e ti consente di concedere autorizzazioni a livello di bucket e progetto. Devi utilizzare IAM per tutte le autorizzazioni che si applicano a più oggetti in un bucket per ridurre i rischi di esposizione indesiderata. Per utilizzare esclusivamente IAM, abilita l'accesso uniforme a livello di bucket per non consentire gli ACL per tutte le risorse Cloud Storage.

Gli ACL controllano le autorizzazioni solo per le risorse Cloud Storage e hanno opzioni di autorizzazione limitate, ma ti consentono di concedere autorizzazioni per singoli oggetti. Molto probabilmente vorrai utilizzare le ACL per i seguenti casi d'uso:

  • Personalizza l'accesso ai singoli oggetti all'interno di un bucket.
  • Esegui la migrazione dei dati da Amazon S3.

Ulteriori opzioni di controllo dell'accesso dell'accesso

Oltre a IAM e ACL, sono disponibili i seguenti strumenti per aiutarti a controllare l'accesso alle tue risorse:

URL firmati (autenticazione stringa di query)

Utilizza gli URL firmati per concedere l'accesso in lettura o in scrittura a un oggetto per un periodo di tempo limitato tramite un URL generato da te. Chiunque condivida l'URL può accedere all'oggetto per il periodo di tempo specificato, indipendentemente dal fatto che abbia o meno un account utente.

Puoi utilizzare gli URL firmati oltre a IAM e ACL. Ad esempio, puoi utilizzare IAM per concedere l'accesso a un bucket solo a poche persone, quindi creare un URL firmato che consenta ad altri di accedere a una risorsa specifica all'interno del bucket.

Scopri come creare URL firmati:

Documenti relativi alle norme firmati

Utilizza i documenti di criteri con firma per specificare cosa può essere caricato in un bucket. I documenti dei criteri consentono un maggiore controllo sulle dimensioni, sul tipo di contenuti e su altre caratteristiche di caricamento rispetto agli URL firmati e possono essere utilizzati dai proprietari di siti web per consentire ai visitatori di caricare file su Cloud Storage.

Puoi utilizzare documenti delle norme firmati oltre a IAM e ACL. Ad esempio, puoi utilizzare IAM per consentire agli utenti della tua organizzazione di caricare qualsiasi oggetto, quindi creare un documento di criteri firmato che consenta ai visitatori del sito web di caricare solo gli oggetti che soddisfano criteri specifici.

Regole di sicurezza Firebase

Utilizza le regole di sicurezza di Firebase per fornire un controllo granulare dell'accesso basato sugli attributi alle app mobile e web utilizzando gli SDK di Firebase per Cloud Storage. Ad esempio, puoi specificare chi può caricare o scaricare oggetti, le dimensioni massime di un oggetto o quando un oggetto può essere scaricato.

Prevenzione dell'accesso pubblico

Utilizza la prevenzione dell'accesso pubblico per limitare l'accesso pubblico ai tuoi bucket e oggetti. Quando attivi la prevenzione dell'accesso pubblico, agli utenti che ottengono l'accesso tramite allUsers e allAuthenticatedUsers non è consentito accedere ai dati.

Confini per l'accesso con credenziali

Utilizza i confini di accesso alle credenziali per limitare le autorizzazioni disponibili per un token di accesso OAuth 2.0. Innanzitutto, definisci un confine di accesso alle credenziali che specifica i bucket a cui può accedere il token, nonché un limite superiore per le autorizzazioni disponibili in quel bucket. Puoi quindi creare un token di accesso OAuth 2.0 e scambiarlo con un nuovo token di accesso che rispetti il confine di accesso alle credenziali.

Filtro IP dei bucket

Utilizza il filtro IP del bucket per limitare l'accesso al bucket in base all'indirizzo IP sorgente della richiesta. Il filtro IP del bucket aggiunge un livello di sicurezza impedendo alle reti non autorizzate di accedere al bucket e ai relativi dati. Puoi configurare un elenco di intervalli di indirizzi IP consentiti, inclusi indirizzi IP pubblici, intervalli di indirizzi IP pubblici e indirizzi IP all'interno del tuo Virtual Private Cloud. Tutte le richieste provenienti da un indirizzo IP non presente nel tuo elenco vengono bloccate. Di conseguenza, solo gli utenti autorizzati possono accedere al tuo bucket.

Passaggi successivi