Google Cloud 控制台

使用 Google Cloud 控制台为 Cloud Storage 执行简单的存储管理任务。Google Cloud 控制台的一些典型用途包括：

• 为项目启用 Cloud Storage API。
• 创建和删除存储桶。
• 上传、下载和删除对象。
• 管理 Identity and Access Management (IAM) 政策。

本页面简要介绍Google Cloud 控制台，包括使用 Google Cloud 控制台可以完成的数据管理任务。若要完成更高级的任务，请使用 Google Cloud CLI 或任何支持 Cloud Storage 的客户端库。

自行试用

如果您是 Google Cloud 新手，请创建一个账号来评估 Cloud Storage 在实际场景中的表现。新客户还可获享 $300 赠金，用于运行、测试和部署工作负载。

免费试用 Cloud Storage

访问 Google Cloud 控制台

Google Cloud 控制台无需设置或安装，您可以直接在浏览器中访问它。根据您的使用场景，Google Cloud 控制台的访问方式会略有不同。如果您是：

已获项目访问权限的用户

请使用 https://console.cloud.google.com/。

当前项目所有者可赋予您访问整个项目的权限，这同样适用于项目中定义的所有存储桶和对象。

已获存储桶访问权限的用户

请使用 https://console.cloud.google.com/storage/browser/BUCKET_NAME。

在此使用场景中，项目所有者为您提供访问一个大型项目中的单个存储桶的权限。然后，该所有者向您发送需代入上述网址的存储桶名称。您只能使用指定存储桶中的对象。对于无权访问完整项目但需要访问存储桶的用户而言，这一点非常有用。访问该网址时，如果您尚未登录，请进行身份验证。

此使用场景的变体形式是，项目所有者为所有用户提供存储桶中对象的读取权限。这会使存储桶中的内容可公开读取。如需了解详情，请参阅设置权限和元数据。

已获对象访问权限的用户

请使用 https://console.cloud.google.com/storage/browser/_details/BUCKET_NAME/OBJECT_NAME

在此使用场景中，项目所有者为您提供访问某存储桶中单一对象的权限，并向您发送用于访问这些对象的网址。访问此类网址时，如果您尚未登录，则系统会提示您使用用户账号进行身份验证。

请注意，上面所示的网址形式与公开共享对象的网址有所不同。当您公开共享某一链接时，网址将采用 https://storage.googleapis.com/BUCKET_NAME/OBJECT_NAME 形式。此公开网址不需要接收者向 Google 进行身份验证，适用于以非身份验证方式访问对象的场景。

您可以使用 Google Cloud 控制台执行的任务

通过 Google Cloud 控制台，您可以使用浏览器执行基本的数据存储管理任务。如要使用 Google Cloud 控制台，您必须向 Google 进行身份验证并拥有完成指定任务所需的相应权限。如果您是创建项目的账号所有者，那么您可能已经拥有完成下述任务所需的所有权限。 否则，您可以获得对项目的访问权限，或获得对存储桶执行操作的权限。

创建存储桶

Cloud Storage 使用平面命名空间来存储您的数据，但您可以使用 Google Cloud 控制台创建文件夹并模拟文件夹层次结构。您的数据并不是以层次结构的形式进行物理存储，而是以类似结构显示在 Google Cloud 控制台中。

如需查看存储桶创建的分步指南，请参阅创建存储桶。

将数据上传至存储桶

您可以通过上传一个或多个文件或包含多个文件的文件夹将数据上传到您的存储桶。您上传文件夹时，Google Cloud 控制台会保留该文件夹的层次结构，包括其中包含的所有文件和文件夹。您可以使用上传进度窗口跟踪上传到 Google Cloud 控制台的进度，并可将此进度窗口最小化，以继续使用您的存储桶。

请参阅上传对象，了解使用 Google Cloud 控制台将对象上传到存储桶的分步指南。

您还可以将文件和文件夹从桌面或文件管理器工具拖放到 Google Cloud 控制台的存储桶或子文件夹，籍以将对象上传到 Google Cloud 控制台。

从存储桶下载数据

如需有关使用 Google Cloud 控制台从存储桶下载对象的分步指南，请参阅下载对象。

您还可以通过点击对象来查看其详细信息。如果能够显示对象，则详细信息页面会包含对象本身的预览。

创建并使用文件夹

由于 Cloud Storage 存储桶作为平面命名空间存在，因此使用 Google Cloud 控制台创建的文件夹是一种模拟的便利方式，可帮助您组织对象。Google Cloud 控制台通过文件夹图标表示这些模拟文件夹，并且 Google Cloud 控制台会使添加到模拟文件夹的对象看起来位于该文件夹中。而实际上，所有对象均存在于存储桶级别。当文件夹的名称是对象整体名称的一部分时，Google Cloud 控制台会使对象看起来包含在模拟文件夹中。

举例来说，如果您创建名为 pets 的模拟文件夹并将文件 cat.jpeg 添加到该文件夹，Google Cloud 控制台会使该文件看起来存在于该文件夹中。实际上，并没有单独的文件夹实体：该文件仅存在于存储桶中，只不过采用 pets/cat.jpeg 形式的名称。

Google Cloud 控制台创建的模拟文件夹在存储桶中作为 0 字节对象存在。您无法使用 Google Cloud 控制台设置有关这些 0 字节对象的元数据或访问权限。请注意，这是一项单独的 Cloud Storage 功能（称为托管式文件夹），可让您控制对一组共用前缀的对象的访问权限。

在 Google Cloud 控制台中浏览模拟文件夹时，您可以点击文件列表上方面包屑导航路径中所需文件夹或存储桶名称，以访问更高级别的目录。

如果您使用其他工具处理存储桶和数据，文件夹的呈现方式可能与 Google Cloud 控制台中的显示有所不同。如需详细了解 gcloud CLI 等不同工具如何模拟 Cloud Storage 中的文件夹，请参阅模拟文件夹。

过滤要查看的存储桶或对象

在项目的存储桶的 Google Cloud 控制台列表中，您可以使用过滤存储桶文本框来过滤您所看到的存储桶。

• 您始终可以按存储桶名称前缀过滤存储桶。

• 对于存储桶少于 1000 个的项目，您始终可以按额外的条件（例如存储桶的位置）过滤存储桶。

• 对于存储桶超过 1000 个的项目，您必须使用过滤文本框旁边显示的下拉菜单来启用额外条件过滤功能。但是请注意，启用额外条件过滤功能后，具有 1000 个存储桶的项目的过滤性能会下降。

在存储桶的对象的 Google Cloud 控制台列表中，您可以通过在位于对象列表上方的按对象或文件夹名称前缀过滤... 文本框中指定前缀来过滤您所看到的对象。此过滤条件会显示以指定前缀开头的对象。这种前缀只会过滤当前存储桶视图中的对象：它不会选择文件夹中包含的对象。

设置对象元数据

您可以在 Google Cloud 控制台中配置对象的元数据。对象元数据可控制请求处理方式的方方面面，包括数据所表示的内容类型以及数据的编码方式。使用 Google Cloud 控制台时，一次只能设置一个对象的元数据。使用 gcloud storage objects update 可同时设置多个对象的元数据。

有关查看和修改对象元数据的分步指南，请参阅查看和修改对象元数据。

删除对象、文件夹和存储桶

您可以选择旁边的复选框，点击删除按钮并确认您要继续该操作，从而在 Google Cloud 控制台中删除存储桶、文件夹或对象。删除某个文件夹或存储桶时，该文件夹或存储桶所含的全部对象也会随之一起删除，包括已标记为公开的所有对象。

有关使用 Google Cloud 控制台从存储桶中移除对象的分步指南，请参阅删除对象。

有关使用 Google Cloud 控制台从项目中删除存储桶的分步指南，请参阅删除存储桶。

公开共享您的数据

当您公开共享对象时，对象的公共访问权限列中会显示一个链接图标。点击此链接会显示用于访问对象的公开网址。

公开网址不同于直接右键点击对象时所关联的链接。这两种链接均可访问对象，但公开网址无需登录用户账号即可使用。如需了解详情，请参阅请求端点。

如需了解如何访问公开共享的对象，请参阅访问公开数据。

要停止公开共享某一对象，请按如下所述操作：

您可以移除有 allUsers 或 allAuthenticatedUsers 作为主账号的任何权限条目，以停止公开共享对象。

• 对于仅公开共享某些对象的存储桶，请修改单个对象的 ACL。

• 对于公开共享所有对象的存储桶，请移除对 allUsers 的 IAM 访问权限。

使用公共访问权限列

Google Cloud 控制台中的存储桶和对象都有“公共访问权限”列，指明公开共享资源的时间。

存储桶级别公共访问权限列

存储桶的公共访问权限列可以具有以下值：对互联网公开、非公开或取决于对象 ACL。

如果存储桶具有满足以下条件的 IAM 角色，则该存储桶为对互联网公开：

• 该角色被授予给主账号 allUsers 或 allAuthenticatedUsers。
• 该角色至少具有一项存储权限（storage.buckets.create 或 storage.buckets.list 除外）。

如果不满足这些条件，则存储桶为非公开或取决于对象 ACL：

• 非公开：没有 IAM 角色授予对存储桶中对象的公开访问权限，而且系统已为存储桶启用统一存储桶级访问权限。

• 取决于对象 ACL：没有 IAM 角色授予对存储桶中对象的公开访问权限，但访问控制列表 (ACL) 可能仍授予对该存储桶中单个对象的公开访问权限。请检查每个对象的权限，确认其是否公开。如需单独使用 IAM，请启用统一存储桶级访问权限。

对象级别公共访问权限列

如果满足以下任一条件，则对象会被视为公开：

1. 对象的访问控制列表 (ACL) 包括 allUsers 或 allAuthenticatedUsers 的条目。

2. 包含该对象的存储桶具有满足以下条件的 IAM 角色：

   • 该角色被授予给主账号 allUsers 或 allAuthenticatedUsers。
   • 该角色至少具有以下一项存储权限：storage.objects.get、storage.objects.getIamPolicy、storage.objects.setIamPolicy、storage.objects.update。

如果满足上述任一条件，则对象的公共访问权限列将显示为对互联网公开。

如果不满足这些条件，则对象的公共访问权限列将显示为非公开。

设置存储桶权限

您可以通过使用 IAM 权限来控制对 Cloud Storage 存储桶的访问权限。例如，您可以设置存储桶的权限，以允许实体（如用户或群组）查看存储桶中的对象或创建对象。如果在项目级层添加用户不合适，则可以执行此操作。对于在 IAM 权限中指定的实体，必须登录 Google 进行身份验证才能访问存储桶。要与用户共享存储桶网址，请使用 https://console.cloud.google.com/storage/browser/BUCKET_NAME/ 形式。

设置对象权限

通过在 Google Cloud 控制台中使用 IAM 权限，您可以轻松、统一地控制对存储桶中对象的访问权限。如果您想要自定义针对存储桶中个别对象的访问权限，请改用签名网址或访问控制列表 (ACL)。

有关查看和修改 IAM 权限的分步指南，请参阅使用 IAM 权限。

要查看或更改单个对象的权限，请参阅更改 ACL。

为用户分配项目级层角色

当您创建项目时，系统会为您分配 Owner IAM 角色。其他实体（如协作者）必须拥有自己的角色才能使用您的项目的存储桶和对象。

一旦您获得了项目的一个角色，相应项目名称即会显示在您的项目列表中。如果您是现有项目所有者，则可以向主账号授予对项目的访问权限。有关如何在项目级添加和移除访问权限的分步指南，请参阅管理对项目、文件夹和组织的访问权限。

使用对象版本控制

您可以启用对象版本控制，以便保留对象的非当前版本来应付发生意外删除或替换的情况：但是，启用对象版本控制会增加存储费用。您可以在启用对象版本控制的同时添加对象生命周期管理条件，从而降低费用。这些条件会根据您指定的设置自动删除或降级较旧的对象版本。用于删除对象的配置示例为此使用场景提供了一组可能的条件。

对象的非当前版本在对象的版本记录标签页中列出和管理。

使用 Sensitive Data Protection　功能扫描存储桶

Sensitive Data Protection　是一项服务，可让您识别和保护存储桶中的敏感数据。Sensitive Data Protection　可以通过查找和遮盖以下这类信息来帮助您满足合规性要求：

• 信用卡号
• IP 地址
• 其他形式的个人身份信息

如需查看　Sensitive Data Protection　功能可以检测的数据类型列表，请参阅 InfoType 检测器参考文档。

您可以为存储桶启动“Sensitive Data Protection”扫描，方法是：点击存储桶的三点状菜单，然后选择使用　Sensitive Data Protection　扫描。如需有关对存储桶执行 Sensitive Data Protection　扫描的指南，请参阅检查 Cloud Storage 位置。