Google Cloud Console

Utilisez Google Cloud Console pour effectuer des tâches simples de gestion du stockage pour Cloud Storage. Voici quelques cas d'utilisation courants de Cloud Console :

  • Activer l'API Cloud Storage pour un projet
  • Créer et supprimer des buckets
  • Importer, télécharger et supprimer des objets
  • Gérer les stratégies de gestion de l'authentification et des accès (IAM)

Cette page présente Cloud Console et certaines tâches que vous pouvez y accomplir pour gérer vos données. Pour effectuer des tâches plus élaborées, utilisez l'outil de ligne de commande gsutil ou l'une des bibliothèques clientes compatibles avec Cloud Storage.

Accéder à Cloud Console

Cloud Console ne nécessite aucune configuration ni installation, et vous pouvez y accéder directement depuis un navigateur. Selon votre cas d'utilisation, l'accès à Cloud Console s'effectue de manière légèrement différente. Si vous êtes :

Un utilisateur autorisé à accéder à un projet

Utilisez https://console.cloud.google.com/.

Pour utiliser Google Cloud Console en tant que membre du projet, vous devez figurer sur la liste des membres du projet. Le propriétaire actuel du projet peut vous accorder un accès qui s'applique à tous les buckets et objets définis dans le projet. Pour en savoir plus, consultez la section Ajouter un membre à un projet.

Un utilisateur autorisé à accéder à un bucket

Utilisez https://console.cloud.google.com/storage/browser/[BUCKET_NAME].

Dans ce cas d'utilisation, le propriétaire du projet vous accorde l'accès à un bucket unique au sein d'un projet plus important. Il vous transmet ensuite le nom du bucket que vous substituez dans l'URL ci-dessus. Vous ne pouvez travailler qu'avec des objets du bucket spécifié. Cette solution est pratique pour les utilisateurs qui ne sont pas membres du projet, mais qui ont besoin d'accéder à un bucket. Lorsque vous accédez à l'URL, vous êtes invité à vous authentifier avec un compte Google si vous n'êtes pas déjà connecté.

Variante possible de ce cas d'utilisation : lorsque le propriétaire d'un projet accorde le droit d'accès en lecture aux objets d'un bucket à tous les utilisateurs. Un bucket dont le contenu est lisible publiquement est alors créé. Pour en savoir plus, consultez la section Définir des autorisations et des métadonnées d'objet ci-dessous.

Un utilisateur autorisé à accéder à un objet

Utilisez https://console.cloud.google.com/storage/browser/_details/[BUCKET_NAME]/[OBJECT_NAME].

Dans ce cas d'utilisation, le propriétaire du projet vous accorde l'accès à des objets spécifiques au sein d'un bucket et vous envoie l'URL permettant d'accéder à ces objets. Lorsque vous accédez aux URL, vous êtes invité à vous authentifier avec un compte Google si vous n'êtes pas déjà connecté.

Notez que le format de l'URL ci-dessus est différent de l'URL des objets qui sont partagés publiquement. Lorsque vous partagez un lien publiquement, le format de l'URL est celui-ci : https://storage.googleapis.com/[BUCKET_NAME]/[OBJECT_NAME]. Cette URL publique n'exige pas du destinataire qu'il s'authentifie auprès de Google et peut être utilisée pour un accès non authentifié à un objet.

Tâches que vous pouvez effectuer sur Google Cloud Console

Cloud Console vous permet d'effectuer des tâches basiques de gestion du stockage de vos données dans un navigateur. Pour utiliser Cloud Console, vous devez vous authentifier auprès de Google et disposer des autorisations appropriées vous permettant d'effectuer une tâche donnée. Si vous êtes le propriétaire du compte qui a créé le projet, il est probable que vous disposiez déjà de toutes les autorisations nécessaires pour effectuer les tâches ci-dessous. Sinon, vous pouvez être ajouté en tant que membre du projet (voir la section Ajouter un membre à un projet) ou recevoir l'autorisation d'exécuter des actions sur un bucket (voir la section Définir des autorisations sur un bucket).

Créer un bucket

Cloud Storage utilise un espace de noms plat pour stocker les données. Vous pouvez cependant utiliser Cloud Console pour créer des dossiers et imiter une arborescence. Vos données ne sont pas physiquement stockées dans une structure hiérarchique, mais présentées sous cette forme dans Cloud Console.

Comme Cloud Storage n'a aucune notion de dossier, les délimiteurs de suffixe de dossier et de nom d'objet ne sont visibles que si vous consultez vos dossiers à l'aide de gsutil ou de tout autre outil de ligne de commande compatible avec Cloud Storage.

Vous trouverez un guide par étapes sur la création de buckets à l'aide de Cloud Console à la section Créer des buckets de stockage.

Importer des données dans un bucket

L'importation de données dans un bucket s'effectue par transfert d'un ou plusieurs fichiers ou d'un dossier contenant des fichiers. Lorsque vous importez un dossier, Cloud Console conserve la structure hiérarchique du dossier, y compris tous les fichiers et sous-dossiers qu'il contient. Une fenêtre de progression vous permet de suivre vos importations sur Cloud Console. Vous pouvez réduire cette fenêtre pour continuer à utiliser le bucket.

Vous trouverez un guide par étapes sur l'importation d'objets dans des buckets à l'aide de Cloud Console sur la page Importer des objets.

Vous pouvez également importer des objets dans Cloud Console en effectuant un glisser-déposer des fichiers et dossiers concernés depuis votre ordinateur ou votre gestionnaire de fichiers vers un bucket ou un sous-dossier de Cloud Console.

Télécharger des données depuis un bucket

Vous trouverez un guide par étapes sur le téléchargement d'objets depuis des buckets à l'aide de Cloud Console sur la page Télécharger des objets.

Vous pouvez également cliquer sur un objet pour afficher toutes les informations. S'il n'est pas possible d'afficher un objet, la page d'informations comprend un aperçu de l'objet lui-même.

Créer et utiliser des dossiers

Le système Cloud Storage n'utilisant pas le concept de dossier, les dossiers créés dans Cloud Console constituent un moyen pratique d'organiser les objets dans un bucket. Pour vous aider visuellement, Cloud Console affiche les dossiers avec une icône de dossier pour les distinguer des objets.

À partir d'un bucket (ou d'un dossier contenu dans un bucket), vous pouvez créer un nouveau dossier en cliquant sur le bouton Créer un dossier. Contrairement aux buckets, les dossiers ne doivent pas nécessairement être uniques. En d'autres termes, un nom de bucket ne peut être utilisé que s'il n'existe pas d'autres buckets sous le même nom, mais les noms de dossiers peuvent être utilisés de manière répétée tant que ces dossiers ne résident pas dans le même bucket ou sous-dossier.

Les objets ajoutés à un dossier semblent résider dans le dossier de Cloud Console. En réalité, tous les objets existent au niveau du bucket et incluent simplement la structure de répertoire dans leur nom. Par exemple, si vous créez un dossier nommé pets et que vous ajoutez un fichier cat.jpeg à ce dossier, Cloud Console fait apparaître le fichier comme s'il existait dans le dossier. En réalité, il n'y a pas d'entité de dossier distincte : le fichier existe simplement dans le bucket sous le nom pets/cat.jpeg.

Lorsque vous parcourez les dossiers dans Cloud Console, vous pouvez accéder aux niveaux supérieurs du répertoire en cliquant sur le nom du dossier ou du bucket recherché dans le fil d'Ariane situé au-dessus des listes de fichiers.

Travailler avec des dossiers dans gsutil

Lorsque vous travaillez avec d'autres outils sur vos buckets et vos données, la présentation des dossiers peut être différente de celle affichée dans Cloud Console. Par exemple, pour comprendre comment gsutil interprète les dossiers, consultez la page Fonctionnement des sous-répertoires.

Filtrer des objets à afficher

Dans Cloud Console, vous pouvez filtrer les objets que vous visualisez en spécifiant un préfixe dans la zone de texte Filtrer par préfixe située au-dessus de la liste d'objets. Ce filtre affiche les objets commençant par le préfixe spécifié. Le préfixe ne filtre que les objets du bucket qui sont actuellement affichés : les objets contenus dans les dossiers ne sont pas sélectionnés.

Définir des métadonnées d'objet

Vous pouvez configurer les métadonnées d'un objet dans Cloud Console. Les métadonnées d'objet contrôlent les aspects ayant trait au mode de traitement des requêtes, y compris le type de contenu et le mode d'encodage des données. Cloud Console permet de définir les métadonnées d'un objet à la fois. Pour définir les métadonnées de plusieurs objets simultanément, utilisez la commande gsutil setmeta.

Vous trouverez un guide par étapes sur la procédure d'affichage et de modification des métadonnées d'un objet sur la page Afficher et modifier des métadonnées d'objet.

Supprimer des objets, des dossiers et des buckets

Pour supprimer un bucket, un dossier ou un objet dans Google Cloud Console, cochez la case correspondante, cliquez sur le bouton Supprimer et confirmez que vous souhaitez poursuivre l'opération. Lorsque vous supprimez un dossier ou un bucket, vous supprimez également tous les objets qu'il contient, y compris les objets marqués comme publics.

Vous trouverez un guide par étapes sur la suppression d'objets de vos buckets à l'aide de Cloud Console sur la page Supprimer des objets.

Pour savoir comment supprimer des buckets d'un projet à l'aide de Cloud Console, reportez-vous à la page Supprimer des buckets.

Partager des données publiquement

Lorsque vous partagez un objet publiquement, une icône de lien apparaît dans la colonne accès public de l'objet. Lorsque vous cliquez sur ce lien, une URL publique permettant d'accéder à l'objet s'affiche.

Reportez-vous à la page Rendre des données publiques pour obtenir des précisions sur le partage d'objets avec d'autres personnes en les rendant accessibles publiquement.

Pour savoir comment accéder à un objet partagé publiquement, consultez la page Accéder aux données publiques.

Pour arrêter le partage d'un objet en mode public :

Vous pouvez arrêter de partager publiquement un objet en supprimant les entrées d'autorisations faisant référence aux membres allUsers (tous les utilisateurs) ou allAuthenticatedUsers (tous les utilisateurs authentifiés).

Utiliser la colonne d'accès public

Les buckets et les objets de Cloud Console comportent une colonne d'accès public qui indique dans quelles circonstances les ressources sont partagées publiquement.

Colonne d'accès public au niveau du bucket

La colonne d'accès public d'un bucket peut prendre les valeurs suivantes : Public sur Internet, Non public ou Soumis à des LCA d'objet.

Un bucket est considéré comme Public sur Internet s'il possède un rôle Cloud IAM répondant aux conditions suivantes :

  • Le rôle comprend le membre allUsers ou allAuthenticatedUsers.
  • Le rôle contient au moins une autorisation de stockage autre que storage.buckets.create ou storage.buckets.list.

Si ces conditions ne sont pas remplies, le bucket est soit Non public, soit Soumis à des LCA d'objet :

  • Non public : aucun rôle Cloud IAM n'accorde d'accès public aux objets du bucket, et l'accès uniforme au niveau du bucket est activé pour ce bucket.

  • Soumis à des LCA d'objet : aucun rôle Cloud IAM n'accorde d'accès public aux objets du bucket. Toutefois, les listes de contrôle d'accès (LCA) permettent d'accorder un accès public aux objets individuels du bucket. Vérifiez les autorisations de chaque objet pour identifier si celles-ci donnent un accès public. Pour utiliser exclusivement Cloud IAM, vous devez activer l'accès uniforme au niveau du bucket.

Colonne d'accès public au niveau de l'objet

Un objet est considéré comme public si l'une ou l'autre des conditions suivantes est remplie :

  1. La LCA (liste de contrôle d'accès) de l'objet comprend une entrée allUsers ou allAuthenticatedUsers.

  2. Le bucket contenant l'objet possède un rôle IAM répondant aux critères suivants :

    • Le rôle comprend le membre allUsers ou allAuthenticatedUsers.
    • Le rôle possède au moins l'une des autorisations de stockage suivantes : storage.objects.get, storage.objects.getIamPolicy, storage.objects.setIamPolicy, storage.objects.update.

Si l'une de ces conditions est remplie, la colonne d'accès public de l'objet indique Public sur Internet.

Si aucune de ces conditions n'est remplie, la colonne d'accès public de l'objet indique Non public.

Définir des autorisations sur un bucket

Vous pouvez contrôler l'accès à un bucket Cloud Storage en utilisant les autorisations IAM (gestion de l'authentification et des accès). Par exemple, vous pouvez définir des autorisations sur un bucket pour permettre à une entité, telle qu'un utilisateur ou un groupe, d'afficher ou de créer des objets dans le bucket. Ce procédé est utile lorsque l'ajout d'un utilisateur au niveau du projet n'est pas approprié. L'entité spécifiée dans l'autorisation IAM doit s'authentifier en se connectant à Google lors de l'accès au bucket. Partagez L'URL du bucket avec le ou les utilisateurs sous ce format : https://console.cloud.google.com/storage/browser/[BUCKET_NAME]/.

Définir des autorisations sur un objet

Les autorisations IAM (gestion de l'authentification et des accès) de Cloud Console offrent un contrôle d'accès simple et unifié aux objets contenus dans un bucket. Si vous souhaitez personnaliser l'accès à certains objets d'un bucket, utilisez plutôt les URL signées ou les LCA (listes de contrôle d'accès).

Vous trouverez un guide par étapes sur l'affichage et la modification des autorisations IAM sur la page Utiliser les autorisations IAM.

Pour afficher ou modifier les autorisations sur des objets individuels, consultez la section Modifier les LCA.

Attribuer aux utilisateurs des rôles au niveau du projet

Lorsque vous créez un projet, le rôle IAM Propriétaire vous est attribué. Pour pouvoir utiliser les buckets et les objets de votre projet, les autres entités, telles que les collaborateurs, doivent se voir attribuer leurs propres rôles.

Une fois qu'un rôle vous a été attribué dans le projet, le nom du projet apparaît dans votre liste de projets. Si vous êtes propriétaire d'un projet existant, vous pouvez ajouter un membre à votre projet. Vous trouverez un guide par étapes sur l'ajout et la suppression des accès au niveau du projet à la section Utiliser IAM avec des projets.

Analyser des buckets avec Cloud Data Loss Prevention

Cloud Data Loss Prevention (Cloud DLP) est un service qui vous permet d'identifier et de protéger les données sensibles dans vos buckets. Cloud DLP vous permet de respecter les exigences de conformité en recherchant et en masquant des informations telles que :

  • Numéros de cartes de crédit
  • Adresses IP
  • Autres types d'informations permettant d'identifier personnellement les utilisateurs

Pour obtenir la liste des types de données détectées par Cloud DLP, consultez la documentation de référence du détecteur d'infotypes.

Vous pouvez lancer une analyse Cloud DLP pour un bucket en cliquant sur le menu à trois points du bucket et en sélectionnant Analyser avec Cloud Data Loss Prevention. Pour obtenir des conseils sur l'exécution d'une analyse Cloud DLP dans un bucket, consultez la section Inspecter un emplacement Cloud Storage.