Google Cloud Console

使用 Google Cloud Console 为 Cloud Storage 执行简单的存储管理任务。Cloud Console 的一些典型用途如下:

  • 为项目启用 Cloud Storage API。
  • 创建和删除存储分区。
  • 上传、下载和删除对象。
  • 管理 Identity and Access Management (IAM) 政策。

本页面简要介绍 Cloud Console,包括使用 Cloud Console 可以完成的数据管理任务。 若要完成更高级的任务,请使用 gsutil 命令行工具或支持 Cloud Storage 的任何客户端库

Cloud Console 的访问

Cloud Console 无需设置或安装,您可以直接在浏览器中访问它。根据您的使用场景,Cloud Console 的访问方式会略有不同。如果您是:

已获项目访问权限的用户

请使用 https://console.cloud.google.com/

您必须已被添加到项目的成员列表中,才能以项目成员的身份使用 Google Cloud Console。当前项目所有者可赋予您访问项目中定义的所有存储分区和对象的权限。如需了解详情,请参阅向项目添加成员

已获存储分区访问权限的用户

请使用 https://console.cloud.google.com/storage/browser/BUCKET_NAME

在此使用场景中,项目所有者为您提供访问一个大型项目中的单个存储分区的权限。然后,该所有者向您发送需代入上述网址的存储分区名称。您只能使用指定存储分区中的对象。对于不是项目成员但需要访问存储分区的用户而言,这一点非常有用。访问该网址时,如果您尚未登录,则系统会提示您使用 Google 帐号进行身份验证。

此使用场景的变体形式是,项目所有者为所有用户提供存储分区中对象的读取权限。这会使存储分区中的内容可公开读取。如需了解详情,请参阅下文中的设置权限和元数据

已获对象访问权限的用户

请使用 https://console.cloud.google.com/storage/browser/_details/BUCKET_NAME/OBJECT_NAME

在此使用场景中,项目所有者为您提供访问某存储分区中单一对象的权限,并向您发送用于访问这些对象的网址。访问此类网址时,如果您尚未登录,则系统会提示您使用 Google 帐号进行身份验证。

请注意,上面所示的网址形式与公开共享对象的网址有所不同。当您公开共享某一链接时,网址将采用 https://storage.googleapis.com/BUCKET_NAME/OBJECT_NAME 形式。此公开网址不需要接收者向 Google 进行身份验证,适用于以非身份验证方式访问对象的场景。

您可以使用 Google Cloud Console 执行的任务

通过 Cloud Console,您可以使用浏览器执行基本的数据存储管理任务。如要使用 Cloud Console,您必须向 Google 进行身份验证并拥有完成指定任务所需的相应权限。如果您是创建项目的帐号所有者,那么您可能已经拥有完成下述任务所需的所有权限。 如果不是,您可以让帐号所有者将您添加为项目成员(向项目添加成员),或为您提供对存储分区执行操作的权限(设置存储分区权限)。

创建存储分区

Cloud Storage 使用平面命名空间来存储您的数据,但您可以使用 Cloud Console 创建文件夹并模拟文件夹层次结构。 您的数据并不是以层次结构的形式进行物理存储,而是以类似结构显示在 GCP Console 中。

由于 Cloud Storage 没有文件夹概念,因此当您使用 gsutil 或其他任何适用于 Cloud Storage 的命令行工具查看您的文件夹时,您可以看到文件夹后缀和对象名称分隔符。

如需使用 Cloud Console 创建存储分区的分步指南,请参阅创建存储分区

将数据上传至存储分区

您可以通过上传一个或多个文件或包含多个文件的文件夹将数据上传到您的存储分区。您上传文件夹时,Cloud Console 会保留该文件夹的层次结构,包括其中包含的所有文件和文件夹。您可以使用上传进度窗口跟踪上传到 Cloud Console 的进度,并可将此进度窗口最小化,以继续使用您的存储分区。

请参阅上传对象,了解使用 Cloud Console 将对象上传到存储分区的分步指南。

您还可以将文件和文件夹从桌面或文件管理器工具拖放到 Cloud Console 的存储分区或子文件夹,籍以将对象上传到 Cloud Console。

从存储分区下载数据

如需有关使用 Cloud Console 从存储分区下载对象的分步指南,请参阅下载对象

您还可以通过点击对象来查看其详细信息。如果能够显示对象,则详细信息页面会包含对象本身的预览。

创建并使用文件夹

由于 Cloud Storage 系统不包含文件夹这一概念,因此在 Cloud Console 中创建文件夹便于您整理存储分区中的对象。作为视觉辅助,Cloud Console 会显示带有文件夹图标的文件夹,帮助您区分文件夹和对象。

通过点击创建文件夹按钮,您可以从存储分区(或存储分区的文件夹)中创建新的文件夹。与存储分区不同,文件夹不具有全局唯一性。也就是说,一个存储分区名称只有在不存在使用该名称的存储分区时方可使用,但对于文件夹名称而言,只要不在同一存储分区或子文件夹中,就可以重复使用。

添加到文件夹中的对象看似位于 Cloud Console 中的文件夹内。而实际上,所有对象均存在于存储分区级别,只是其名称包含目录结构而已。举例来说,如果您创建名为 pets 的文件夹并将文件 cat.jpeg 添加到该文件夹,Cloud Console 会使该文件看似存在于该文件夹中。实际上,并没有单独的文件夹实体:该文件仅存在于存储分区中,只不过采用 pets/cat.jpeg 形式的名称。

在 Cloud Console 中浏览文件夹时,您可以点击所需文件夹或文件列表上方浏览路径中的存储分区名称来访问更高级别的目录。

在 gsutil 中处理文件夹

当您使用其他工具处理存储分区和数据时,文件夹的显示方式可能与在 Cloud Console 中时不同。 例如,要了解 gsutil 如何解释文件夹,请参阅子目录的工作原理

过滤要查看的存储分区或对象

在项目的存储分区的 Cloud Console 列表中,您可以使用过滤存储分区文本框来过滤您所看到的存储分区。

  • 您始终可以按存储分区名称前缀过滤存储分区。

  • 对于存储分区少于 1000 个的项目,您始终可以按额外的条件(例如存储分区的位置)过滤存储分区。

  • 对于存储分区超过 1000 个的项目,您必须使用过滤文本框旁边显示的下拉列表来启用额外条件过滤功能。但是请注意,启用额外条件过滤功能后,具有 1000 个存储分区的项目的过滤性能会下降。

在存储分区的对象的 Cloud Console 列表中,您可以通过在对象列表上方的“按对象或文件夹名称前缀过滤…”(Filter by object or folder name prefix…) 文本框中指定前缀来过滤您所看到的对象。此过滤条件会显示以指定前缀开头的对象。这种前缀只会过滤当前存储分区视图中的对象:它不会选择文件夹中包含的对象。

设置对象元数据

您可以在 Cloud Console 中配置对象的元数据。 对象元数据可控制请求处理方式的方方面面,包括数据所表示的内容类型以及数据的编码方式。使用 GCP Console 时,一次只能设置一个对象的元数据。使用 gsutil setmeta 时,可以同时设置多个对象的元数据。

如需阅读有关查看和修改对象元数据的分步指南,请参阅查看和修改对象元数据

删除对象、文件夹和存储分区

您可以选择旁边的复选框,点击删除按钮并确认您要继续该操作,从而在 Google Cloud Console 中删除存储分区、文件夹或对象。删除某个文件夹或存储分区时,该文件夹或存储分区所含的全部对象也会随之一起删除,包括已标记为公开的所有对象。

请参阅删除对象,了解使用 Cloud Console 从存储分区中删除对象的分步指南。

请参阅删除存储分区,了解使用 Cloud Console 从项目中删除存储分区的分步指南。

公开共享您的数据

当您公开共享对象时,对象的“公共访问权限”列中会显示一个链接图标。点击此链接会显示用于访问对象的公开网址。

如需阅读有关如何将您的对象设置为可公开访问以便与他人共享的分步指南,请参阅公开数据

如需了解如何访问公开共享的对象,请参阅访问公开数据

要停止公开共享某一对象,请按如下所述操作:

您可以移除有 allUsersallAuthenticatedUsers 作为成员的任何权限条目,以停止公开共享对象。

使用公共访问权限列

Cloud Console 中的存储分区和对象都具有公共访问权限列,用于指明资源是否公开共享。

存储分区级别公共访问权限列

存储分区的公共访问权限列可以具有以下值:对互联网公开非公开取决于对象 ACL

如果存储分区具有满足以下条件的 IAM 角色,则该存储分区为对互联网公开

  • 该角色包含 allUsersallAuthenticatedUsers 成员。
  • 该角色至少具有一项存储权限storage.buckets.createstorage.buckets.list 除外)。

如果不满足这些条件,则存储分区为非公开取决于对象 ACL

对象级别公共访问权限列

如果满足以下任一条件,则对象会被视为公开:

  1. 对象的访问控制列表 (ACL) 包括 allUsersallAuthenticatedUsers 的条目。

  2. 包含该对象的存储分区具有满足以下条件的 IAM 角色:

    • 该角色包含 allUsersallAuthenticatedUsers 成员。
    • 该角色至少具有以下一项存储权限storage.objects.getstorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update

如果满足上述任一条件,则对象的公共访问权限列将显示为对互联网公开

如果不满足这些条件,则对象的公共访问权限列将显示为非公开

设置存储分区权限

您可以通过使用 IAM 权限来控制对 Cloud Storage 存储分区的访问权限。例如,您可以设置存储分区的权限,以允许实体(如用户或群组)查看存储分区中的对象或创建对象。如果在项目级层添加用户不合适,则可以执行此操作。对于在 IAM 权限中指定的实体,必须登录 Google 进行身份验证才能访问存储分区。要与用户共享存储分区网址,请使用 https://console.cloud.google.com/storage/browser/BUCKET_NAME/ 形式。

设置对象权限

通过在 Cloud Console 中使用 IAM 权限,您可以轻松、统一地控制对存储分区中对象的访问权限。如果您想要自定义针对存储分区中个别对象的访问权限,请改用签名网址访问控制列表 (ACL)

如需阅读有关查看和修改 IAM 权限的分步指南,请参阅使用 IAM 权限

如需查看或更改个别对象的权限,请参阅更改 ACL

为用户分配项目级层角色

当您创建项目时,系统会为您分配 Owner IAM 角色。其他实体(如协作者)必须拥有自己的角色才能使用您的项目的存储分区和对象。

一旦您获得了项目的一个角色,相应项目名称即会显示在您的项目列表中。现有项目所有者可以向项目添加成员。有关添加和移除项目级层访问权限的分步指南,请参阅在项目中使用 IAM

使用 Cloud Data Loss Prevention 扫描存储分区

Cloud Data Loss Prevention (Cloud DLP) 是一项服务,可让您识别和保护存储分区中的敏感数据。Cloud DLP 可以通过查找和遮盖以下这类信息来帮助您满足合规性要求:

  • 信用卡号
  • IP 地址
  • 其他形式的个人身份信息

如需查看 Cloud DLP 可检测的数据类型列表,请参阅 InfoType 检测器参考

您可以为存储分区启动 Cloud DLP 扫描,方法是:点击存储分区的三点状菜单,然后选择使用 Cloud Data Loss Prevention 扫描。如需有关对存储分区执行 Cloud DLP 扫描的指南,请参阅检查 Cloud Storage 位置