Puoi controllare chi può accedere ai bucket e agli oggetti Cloud Storage e il livello di accesso di cui dispongono.
Scegli tra accesso uniforme e granulare
Quando crei un bucket, devi decidere se applicarlo autorizzazioni mediante accesso uniforme o granulare.
Uniforme (opzione consigliata): l'accesso uniforme a livello di bucket ti consente di utilizzare Identity and Access Management (IAM) da solo per gestire le autorizzazioni. IAM applica le autorizzazioni a tutti gli oggetti contenuti all'interno del bucket o dei gruppi oggetti con prefissi di nomi comuni. IAM consente inoltre di utilizzare di funzionalità che non sono disponibili quando si lavora con gli ACL, cartelle gestite, Condizioni IAM, condivisione limitata al dominio e federazione delle identità per la forza lavoro.
Granulare: questa opzione ti consente di utilizzare IAM e ACL (Access Control List) per gestire autorizzazioni aggiuntive. Gli ACL sono un sistema di controllo dell'accesso legacy per Cloud Storage progettato per l'interoperabilità con Amazon S3. Gli ACL consentono inoltre di specificare per ogni singolo oggetto.
Poiché l'accesso granulare richiede di coordinare tra loro di controllo dell'accesso, c'è una maggiore probabilità di dati involontari l'esposizione e il controllo di chi ha accesso alle risorse è più complicato. In particolare, se hai oggetti che contengono dati sensibili, come informazioni che consentono l'identificazione personale, ti consigliamo di archiviarli in un bucket con accesso uniforme a livello di bucket abilitato.
Utilizzo delle autorizzazioni IAM con le ACL
Cloud Storage offre due sistemi per concedere agli utenti l'accesso ai tuoi bucket e ai tuoi oggetti: IAM ed elenchi di controllo dell'accesso (ACL). Questi sistemi agiscono in parallelo: affinché un utente possa accedere a una risorsa Cloud Storage, è sufficiente che uno dei sistemi conceda l'autorizzazione. Per Ad esempio, se il criterio IAM del bucket consente solo a pochi utenti di legge dati di oggetti nel bucket, ma uno degli oggetti nel bucket ha un ACL che lo rende leggibile da pubblico, l'oggetto specifico viene esposto pubblico.
Nella maggior parte dei casi, IAM è il metodo consigliato per controllare l'accesso alle risorse. IAM controlla le autorizzazioni in Google Cloud e ti consente di concedere autorizzazioni a livello di bucket e progetto. Devi utilizzare IAM per tutte le autorizzazioni applicabili più oggetti in un bucket per ridurre i rischi di esposizione non intenzionale. Per utilizzare Esclusiva IAM, abilita l'accesso uniforme a livello di bucket per non consentire gli ACL per a tutte le risorse Cloud Storage.
Gli ACL controllano le autorizzazioni solo per le risorse Cloud Storage e hanno opzioni di autorizzazione limitate, ma ti consentono di concedere autorizzazioni per singoli oggetti. Ti consigliamo di utilizzare gli ACL per i seguenti casi d'uso:
- Personalizza l'accesso ai singoli oggetti all'interno di un bucket.
- Esegui la migrazione dei dati da Amazon S3.
Ulteriori opzioni di controllo dell'accesso
Oltre a IAM e ACL, sono disponibili anche i seguenti strumenti per controllare l'accesso alle tue risorse:
URL firmati (autenticazione stringa di query)
Utilizza gli URL firmati per concedere l'accesso in lettura o in scrittura a un oggetto per un periodo di tempo limitato tramite un URL generato da te. Chiunque condivida l'URL può accedere all'oggetto per il periodo di tempo specificato, indipendentemente dal fatto che abbia o meno un account utente.
Puoi utilizzare gli URL firmati oltre a IAM e ACL. Ad esempio, puoi utilizzare IAM per concedere l'accesso a un bucket solo a poche persone, quindi creare un URL firmato che consenta ad altri di accedere a una risorsa specifica all'interno del bucket.
Scopri come creare URL firmati:
Documenti relativi alle norme firmati
Utilizza i documenti di criteri con firma per specificare cosa può essere caricato in un bucket. I documenti dei criteri consentono un maggiore controllo su dimensioni, tipo di contenuti e altre caratteristiche di caricamento rispetto agli URL firmati e possono essere utilizzati dai proprietari di siti web per consentire ai visitatori di caricare file su Cloud Storage.
Oltre a IAM e ACL, puoi utilizzare i documenti relativi ai criteri firmati. Ad esempio, puoi utilizzare IAM per consentire agli utenti della tua organizzazione caricare qualsiasi oggetto, quindi creare un documento delle norme firmato che consenta al sito web di ai visitatori di caricare solo oggetti che soddisfano criteri specifici.
Regole di sicurezza Firebase
Utilizza le regole di sicurezza di Firebase per fornire un controllo dell'accesso granulare basato su attributi alle app web e per dispositivi mobili usando gli SDK Firebase per Cloud Storage. Ad esempio, puoi specificare chi può caricare o scaricare oggetti, le dimensioni massime di un oggetto o quando un oggetto può essere scaricato.
Prevenzione dell'accesso pubblico
Utilizza la prevenzione dell'accesso pubblico per limitare l'accesso pubblico ai tuoi bucket e
oggetti. Quando attivi la prevenzione dell'accesso pubblico, agli utenti che ottengono l'accesso tramite allUsers
e allAuthenticatedUsers
non è consentito accedere ai dati.
Confini dell'accesso alle credenziali
Usa i limiti dell'accesso alle credenziali per limitare l'ambito delle autorizzazioni che sono disponibile per un token di accesso OAuth 2.0. Innanzitutto, definisci un'autorizzazione di accesso alle credenziali Confine che specifica i bucket a cui può accedere il token, nonché un intervallo superiore associate alle autorizzazioni disponibili nel bucket. Puoi quindi creare un token di accesso OAuth 2.0 e scambiarlo con un nuovo token di accesso che rispetti il confine di accesso alle credenziali.
Passaggi successivi
- Scopri come utilizzare le autorizzazioni IAM.
- Fai riferimento alle autorizzazioni e ai ruoli IAM specifici per Cloud Storage
- Visualizza esempi di scenari di condivisione e collaborazione che prevedono l'impostazione di ACL di bucket e oggetti.
- Scopri come rendere i tuoi dati accessibili a tutti sulla rete internet pubblica.
- Scopri di più su quando utilizzare un URL firmato.