Panoramica del controllo dell'accesso

Puoi controllare chi può accedere ai tuoi bucket e agli oggetti Cloud Storage e il relativo livello di accesso.

Scegliere tra accesso uniforme e granulare

Quando crei un bucket, devi decidere se applicare le autorizzazioni utilizzando l'accesso uniforme o granulare.

  • Uniforme (consigliato): l'accesso uniforme a livello di bucket consente di utilizzare Identity and Access Management (IAM) solo per gestire le autorizzazioni. IAM applica le autorizzazioni a tutti gli oggetti contenuti all'interno del bucket o ai gruppi di oggetti con prefissi di nomi comuni. IAM consente inoltre di utilizzare funzionalità che non sono disponibili quando si utilizzano gli ACL, ad esempio cartelle gestite, condizioni IAM, condivisione limitata per i domini e federazione delle identità per la forza lavoro.

  • Granulare: l'opzione granulare consente di utilizzare IAM e gli elenchi di controllo dell'accesso (ACL) insieme per gestire le autorizzazioni. Gli ACL sono un sistema di controllo dell'accesso legacy per Cloud Storage progettato per l'interoperabilità con Amazon S3. Gli ACL ti consentono anche di specificare l'accesso in base al singolo oggetto.

    Poiché l'accesso granulare richiede la coordinazione tra due diversi sistemi di controllo dell'accesso'accesso, aumenta la possibilità di un'esposizione involontaria dei dati, mentre controllare chi ha accesso alle risorse è più complicato. In particolare, se disponi di oggetti che contengono dati sensibili, ad esempio informazioni che consentono l'identificazione personale, ti consigliamo di archiviare questi dati in un bucket con l'accesso uniforme a livello di bucket abilitato.

Utilizzo delle autorizzazioni IAM con gli ACL

Cloud Storage offre due sistemi per concedere agli utenti l'accesso ai tuoi bucket e agli oggetti: IAM ed elenchi di controllo dell'accesso (ACL). Questi sistemi agiscono in parallelo: per consentire a un utente di accedere a una risorsa Cloud Storage, solo uno dei sistemi deve concedere l'autorizzazione all'utente. Ad esempio, se il criterio IAM del bucket consente solo a pochi utenti di leggere i dati degli oggetti nel bucket, ma uno degli oggetti nel bucket ha un ACL che lo rende pubblicamente leggibile, l'oggetto specifico viene esposto al pubblico.

Nella maggior parte dei casi, IAM è il metodo consigliato per controllare l'accesso alle risorse. IAM controlla le autorizzazioni in tutto Google Cloud e ti consente di concedere autorizzazioni a livello di bucket e di progetto. Devi utilizzare IAM per tutte le autorizzazioni che si applicano a più oggetti in un bucket, in modo da ridurre i rischi di esposizione non intenzionale. Per utilizzare esclusivamente IAM, abilita l'accesso uniforme a livello di bucket in modo da non consentire gli ACL per tutte le risorse di Cloud Storage.

Gli ACL controllano le autorizzazioni solo per le risorse Cloud Storage e hanno opzioni di autorizzazione limitate, ma consentono di concedere autorizzazioni per singoli oggetti. È molto probabile che tu voglia utilizzare gli ACL per i seguenti casi d'uso:

  • Personalizza l'accesso ai singoli oggetti all'interno di un bucket.
  • Migrazione dei dati da Amazon S3.

Opzioni aggiuntive di controllo dell'accesso dell'accesso

Oltre a IAM e ACL, sono disponibili i seguenti strumenti per aiutarti a controllare l'accesso alle risorse:

URL firmati (autenticazione stringa di query)

Utilizza gli URL firmati per concedere l'accesso in lettura o scrittura a un oggetto limitato nel tempo tramite un URL generato da te. Tutte le persone con cui condividi l'URL possono accedere all'oggetto per il periodo di tempo specificato, indipendentemente dal fatto che dispongano o meno di un account utente.

Puoi utilizzare gli URL firmati oltre a IAM e ACL. Ad esempio, puoi utilizzare IAM per concedere l'accesso a un bucket solo per poche persone, quindi creare un URL firmato che consente ad altri di accedere a una risorsa specifica all'interno del bucket.

Scopri come creare URL firmati:

Documenti dei criteri firmati

Utilizza i documenti dei criteri firmati per specificare cosa può essere caricato in un bucket. I documenti relativi ai criteri consentono un maggiore controllo su dimensioni, tipo di contenuti e altre caratteristiche di caricamento rispetto agli URL firmati e possono essere utilizzati dai proprietari di siti web per consentire ai visitatori di caricare file in Cloud Storage.

Puoi utilizzare documenti dei criteri firmati oltre a IAM e ACL. Ad esempio, puoi utilizzare IAM per consentire agli utenti della tua organizzazione di caricare qualsiasi oggetto, quindi creare un documento di criteri firmato che consenta ai visitatori del sito web di caricare solo oggetti che soddisfano criteri specifici.

Regole di sicurezza Firebase

Utilizza le regole di sicurezza di Firebase per fornire controllo dell'accesso granulare e basato su attributi ad app web e mobile mediante gli SDK Firebase per Cloud Storage. Ad esempio, puoi specificare chi può caricare o scaricare oggetti, quanto può essere grande un oggetto o quando può essere scaricato.

Prevenzione dell'accesso pubblico

Utilizza la prevenzione dell'accesso pubblico per limitare l'accesso pubblico ai bucket e agli oggetti. Quando abiliti la prevenzione dell'accesso pubblico, gli utenti che ottengono l'accesso tramite allUsers e allAuthenticatedUsers non possono accedere ai dati.

Confini dell'accesso alle credenziali

Utilizza i Limiti di accesso alle credenziali per eseguire il downgrade delle autorizzazioni disponibili per un token di accesso OAuth 2.0. Innanzitutto, definisci un confine di accesso alle credenziali che specifica i bucket a cui può accedere il token, nonché un limite superiore per le autorizzazioni disponibili nel bucket. Puoi quindi creare un token di accesso OAuth 2.0 e scambiarlo con un nuovo token di accesso che rispetti il confine dell'accesso alle credenziali.

Passaggi successivi