Descripción general del control de acceso

Tú controlas quién tiene acceso a tus depósitos y objetos de Cloud Storage y qué nivel de acceso tienen.

Elige entre acceso uniforme y detallado

Cuando creas un depósito, debes decidir si quieres aplicar permisos con acceso uniforme o detallado.

  • Uniforme (recomendado): El Acceso uniforme a nivel de depósito te permite usar solo Cloud Identity and Access Management (Cloud IAM) para administrar los permisos. Cloud IAM aplica permisos a todos los objetos contenidos dentro del depósito, o a grupos de objetos con prefijos de nombre comunes. Cloud IAM también te permite usar funciones que no están disponibles cuando trabajas con las LCA, como las Condiciones de Cloud IAM y los Registros de auditoría de Cloud.

  • Detallado: La opción detallada te permite usar Cloud IAM y las Listas de control de acceso (LCA) para administrar los permisos. Las LCA son un sistema de control de acceso heredado de Cloud Storage diseñado para la interoperabilidad con Amazon S3. Puedes especificar el acceso y aplicar los permisos a nivel de depósito y por objeto individual.

Si tienes objetos que contienen datos sensibles, como información de identificación personal, te recomendamos que almacenes esos datos en un depósito con acceso uniforme habilitado para optimizar la supervisión de los permisos. Por ejemplo:

Recomendado No recomendado
Control de acceso: Uniforme Control de acceso: Detallado
Uniforme Detallado
Esta configuración tiene una menor probabilidad de exposición de datos. Agregar permisos a nivel de depósito garantiza que Max y Bella no puedan ver los datos del otro, incluso si se agregan archivos nuevos a los depósitos. Esta configuración tiene una mayor probabilidad de exposición de datos. Si no configuras de forma correcta los permisos de los objetos, es posible que Max y Bella vean las fotos del otro y los archivos nuevos que se agregan al depósito.

Usa los permisos de Cloud IAM con LCA

Cloud Storage ofrece dos sistemas para otorgar permiso a los usuarios a fin de acceder a tus depósitos y objetos: Cloud Identity and Access Management (Cloud IAM) y Listas de control de acceso (LCA). Estos sistemas actúan en paralelo: para que un usuario pueda acceder a un recurso de Cloud Storage, solo es necesario que uno de los sistemas le otorgue permisos.

En la mayoría de los casos, Cloud IAM es el método recomendado para controlar el acceso a los recursos. Cloud IAM controla los permisos en todo Google Cloud y te permite otorgarlos a nivel de depósito y proyecto. Debes usar Cloud IAM para cualquier permiso que se aplique a varios objetos en un depósito a fin de reducir los riesgos de exposición no deseada. Si quieres usar Cloud IAM de manera exclusiva, habilita el acceso uniforme a nivel de depósito para inhabilitar las LCA en los recursos de Cloud Storage.

Las LCA controlan los permisos solo para los recursos de Cloud Storage y tienen opciones de permisos limitadas, pero te permiten otorgar permisos por objetos individuales. Es muy probable que quieras usar las LCA para los siguientes casos prácticos:

  • Personalizar el acceso a objetos individuales dentro de un depósito.
  • Migrar datos desde Amazon S3.

Opciones de control de acceso adicionales

Además de Cloud IAM y las LCA, las siguientes herramientas están disponibles para ayudarte a controlar el acceso a los recursos:

URL firmadas (autenticación de cadena de consulta)

Usa las URL firmadas para otorgar acceso de lectura o escritura a un objeto por tiempo limitado a través de una URL que generes. Cualquier persona con quien compartas la URL puede acceder al objeto durante el tiempo que especifiques, sin importar si tiene una Cuenta de Google o no.

Puedes usar las URL firmadas además de Cloud IAM y las LCA. Por ejemplo, puedes usar Cloud IAM para otorgar acceso a un depósito a unas pocas personas y, luego, crear una URL firmada que permita a otros acceder a un recurso específico dentro del depósito.

Aprende a crear URL firmadas:

Documentos de políticas firmados

Usa documentos de políticas firmados para especificar qué se puede subir a un depósito. Los documentos de política permiten un mayor control sobre el tamaño, el tipo de contenido y otras características de carga en comparación con las URL firmadas. Los propietarios del sitio web pueden usarlos para permitir que los visitantes suban archivos a Cloud Storage.

Puedes usar documentos de políticas firmados además de Cloud IAM y las LCA. Por ejemplo, puedes usar Cloud IAM para permitir que los miembros de tu organización suban cualquier objeto. Luego, puedes crear un documento de política firmado que permita a los visitantes del sitio web subir solo objetos que cumplan criterios específicos.

Reglas de seguridad de Firebase

Usa las Reglas de seguridad de Firebase a fin de proporcionar un control de acceso detallado y basado en atributos a las aplicaciones web y para dispositivos móviles mediante el SDK de Firebase para Cloud Storage. Por ejemplo, puedes especificar quién sube o descarga objetos, qué tan grande puede ser un objeto o cuándo puede descargarse.

Límites de acceso a las credenciales

Usa Límites de acceso a las credenciales a fin de restringir los permisos que están disponibles para un token de acceso de OAuth 2.0. Primero, define un límite de acceso a las credenciales que especifique a qué depósitos puede acceder el token, así como un límite superior en los permisos que están disponibles en ese depósito. Luego, puedes crear un token de acceso de OAuth 2.0 y cambiarlo por uno nuevo que respete el límite de acceso a las credenciales.

Próximos pasos