Übersicht über die Zugriffssteuerung

Sie können festlegen, wer Zugriff auf Ihre Cloud Storage-Buckets und -Objekte hat und welche Zugriffsebene die betreffenden Nutzer haben.

Sie haben die Wahl zwischen einheitlichem und detailliertem Zugriff

Wenn Sie einen Bucket erstellen, sollten Sie entscheiden, ob Sie Berechtigungen mit einheitlichem oder detailliertem Zugriff anwenden möchten.

  • Einheitlich (empfohlen): Mit dem einheitlichen Zugriff auf Bucket-Ebene können Sie Berechtigungen nur mit Cloud Identity and Access Management (Cloud IAM) verwalten. Cloud IAM wendet Berechtigungen auf alle Objekte an, die im Bucket enthalten sind, oder auf Gruppen von Objekten mit gängigen Namenspräfixen. Cloud IAM ermöglicht Ihnen auch die Verwendung von Funktionen, die bei der Arbeit mit ACLs wie Cloud IAM Conditions und Cloud-Audit-Logs nicht verfügbar sind.

  • Detailliert: Mit der detaillierten Option können Sie Cloud IAM und Access Control Lists (ACLs) gemeinsam zur Verwaltung von Berechtigungen verwenden. ACLs sind ein herkömmliches Zugriffssteuerungssystem für Cloud Storage, das für die Interoperabilität mit Amazon S3 entwickelt wurde. Sie können sowohl auf Bucket-Ebene als auch auf einzelnen Objekten Zugriff festlegen und Berechtigungen zuweisen.

Wenn Sie Objekte haben, die vertrauliche Daten enthalten, z. B. personenbezogene Daten, empfehlen wir, diese Daten in einem Bucket mit einheitlichem Zugriff zu speichern, um Berechtigungen zu optimieren. Beispiel:

Empfohlen Nicht empfohlen
Zugriffssteuerung: einheitlich Zugriffssteuerung: detailliert
Einheitlich Detailliert
Bei dieser Konfiguration ist die Wahrscheinlichkeit, dass die Daten gefährdet werden, geringer. Durch das Hinzufügen von Berechtigungen auf Bucket-Ebene wird sichergestellt, dass Max und Lisa die Daten des jeweils anderen nicht sehen können, auch wenn den Buckets neue Dateien hinzugefügt werden. Bei dieser Konfiguration ist die Wahrscheinlichkeit, dass die Daten gefährdet werden, höher. Wenn Sie die Objektberechtigungen nicht korrekt festlegen, können Max und Lisa unter Umständen die Fotos des jeweils anderen sowie neue Dateien sehen, die dem Bucket hinzugefügt wurden.

Cloud IAM-Berechtigungen mit ACLs verwenden

Cloud Storage bietet zwei Systeme, um Nutzern die Berechtigung zum Zugriff auf Ihre Buckets und Objekte zu erteilen: Cloud Identity and Access Management (Cloud IAM) und Access Control Lists (ACLs). Diese Systeme sind parallel aktiv – wenn Sie einem Nutzer Zugriff auf eine Cloud Storage-Ressource gewähren möchten, muss die Berechtigung nur von einem der Systeme erteilt werden.

In den meisten Fällen ist Cloud IAM die empfohlene Methode zur Kontrolle des Zugriffs auf Ihre Ressourcen. Cloud IAM steuert die Berechtigungen in Google Cloud und ermöglicht Ihnen, Berechtigungen auf Bucket- und Projektebene zu erteilen. Sie sollten Cloud IAM für alle Berechtigungen verwenden, die für mehrere Objekte in einem Bucket gelten, um die Risiken einer unbeabsichtigten Datengefährdung zu reduzieren. Wenn Sie nur Cloud IAM verwenden möchten, aktivieren Sie den einheitlichen Zugriff auf Bucket-Ebene, um ACLs für alle Cloud Storage-Ressourcen zu verbieten.

ACLs steuern die Berechtigungen nur für Cloud Storage-Ressourcen und haben eingeschränkte Berechtigungsoptionen. Sie ermöglichen Ihnen jedoch, Berechtigungen für einzelne Objekte zu gewähren. Sie möchten ACLs wahrscheinlich für die folgenden Anwendungsfälle verwenden:

  • Passen Sie den Zugriff auf einzelne Objekte in einem Bucket an.
  • Daten von Amazon S3 migrieren

Zusätzliche Optionen für die Zugriffssteuerung

Neben Cloud IAM und ACLs stehen die folgenden Tools zur Verfügung, mit denen Sie den Zugriff auf Ihre Ressourcen steuern können:

Signierte URLs (Abfragestring-Authentifizierung)

Verwenden Sie signierte URLs, um über eine von Ihnen erstellte URL zeitlich begrenzten Lese- oder Schreibzugriff auf ein Objekt zu gewähren. Jeder, mit dem Sie diese URL teilen, kann für eine von Ihnen festgelegte Dauer auf das Objekt zugreifen, unabhängig davon, ob er ein Google-Konto besitzt.

Sie können signierte URLs zusätzlich zu Cloud IAM und ACLs verwenden. Sie können beispielsweise mit Cloud IAM nur wenigen Personen Zugriff auf einen Bucket gewähren und dann eine signierte URL erstellen, mit der andere auf eine bestimmte Ressource im Bucket zugreifen können.

Informationen zum Erstellen signierter URLs:

Signierte Richtliniendokumente

Verwenden Sie signierte Richtliniendokumente, um anzugeben, was in einen Bucket hochgeladen werden kann. Richtliniendokumente bieten im Vergleich zu signierten URLs eine umfassendere Kontrolle über die Größe und die Art von Inhalten sowie über andere Uploadeigenschaften und können von Websiteinhabern verwendet werden, um Besuchern das Hochladen von Dateien in Cloud Storage zu ermöglichen.

Sie können signierte Richtliniendokumente zusätzlich zu Cloud IAM und ACLs verwenden. Mit Cloud IAM können Sie beispielsweise Personen in Ihrer Organisation erlauben, beliebige Objekte hochzuladen, und dann ein signiertes Richtliniendokument erstellen, über das Websitebesucher nur Objekte hochladen können, die bestimmte Kriterien erfüllen.

Firebase-Sicherheitsregeln

Verwenden Sie Firebase-Sicherheitsregeln, um eine genaue, attributbasierte Zugriffssteuerung für mobile Apps und Webanwendungen mithilfe der Firebase SDKs für Cloud Storage zu gewähren. Beispielsweise können Sie festlegen, wer Objekte herunter- oder hochladen darf, wie groß ein Objekt sein darf oder wann ein Objekt heruntergeladen werden darf.

Zugangsbeschränkungen für Anmeldedaten

Verwenden Sie eine Zugriffsgrenze für Anmeldedaten, um die Berechtigungen zu begrenzen, die für ein OAuth 2.0-Zugriffstoken verfügbar sind. Definieren Sie hierfür zuerst eine Zugriffsgrenze für Anmeldedaten, die angibt, auf welche Buckets das Token zugreifen kann, sowie eine Obergrenze für die Berechtigungen, die für den Bucket verfügbar sind. Sie können dann ein OAuth 2.0-Zugriffstoken erstellen und es gegen ein neues Zugriffstoken eintauschen, das die Zugriffsgrenze für die Anmeldedaten berücksichtigt.

Weitere Informationen