Google Cloud 控制台

使用 Google Cloud 控制台为 Cloud Storage 执行简单的存储管理任务。控制台的一些典型用途如下:

  • 为项目启用 Cloud Storage API。
  • 创建和删除存储分区。
  • 上传、下载和删除对象。
  • 管理 Identity and Access Management (IAM) 政策。

本页面简要介绍控制台,包括使用控制台可以完成的数据管理任务。若要完成更高级的任务,请使用 gsutil 命令行工具或支持 Cloud Storage 的任何客户端库

自行试用

如果您是 Google Cloud 新手,请创建一个帐号来评估 Cloud Storage 在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。

免费试用 Cloud Storage

访问控制台

控制台无需设置或安装,您可以直接在浏览器中访问它。根据您的使用场景,控制台的访问方式会略有不同。如果您是:

已获项目访问权限的用户

请使用 https://console.cloud.google.com/

当前项目所有者可赋予您访问整个项目的权限,这同样适用于项目中定义的所有存储桶和对象。如需了解详情,请参阅将主帐号添加到项目中

已获存储分区访问权限的用户

请使用 https://console.cloud.google.com/storage/browser/BUCKET_NAME

在此使用场景中,项目所有者为您提供访问一个大型项目中的单个存储分区的权限。然后,该所有者向您发送需代入上述网址的存储分区名称。您只能使用指定存储分区中的对象。对于无权访问完整项目但需要访问存储桶的用户而言,这一点非常有用。访问该网址时,如果您尚未登录,则系统会提示您使用 Google 帐号进行身份验证。

此使用场景的变体形式是,项目所有者为所有用户提供存储分区中对象的读取权限。这会使存储分区中的内容可公开读取。如需了解详情,请参阅下文中的设置权限和元数据

已获对象访问权限的用户

请使用 https://console.cloud.google.com/storage/browser/_details/BUCKET_NAME/OBJECT_NAME

在此使用场景中,项目所有者为您提供访问某存储分区中单一对象的权限,并向您发送用于访问这些对象的网址。访问此类网址时,如果您尚未登录,则系统会提示您使用 Google 帐号进行身份验证。

请注意,上面所示的网址形式与公开共享对象的网址有所不同。当您公开共享某一链接时,网址将采用 https://storage.googleapis.com/BUCKET_NAME/OBJECT_NAME 形式。此公开网址不需要接收者向 Google 进行身份验证,适用于以非身份验证方式访问对象的场景。

您可以使用 Google Cloud 控制台执行的任务

通过控制台,您可以使用浏览器执行基本的数据存储管理任务。如要使用控制台,您必须向 Google 进行身份验证并拥有完成指定任务所需的相应权限。如果您是创建项目的帐号所有者,那么您可能已经拥有完成下述任务所需的所有权限。 否则,您可以获得对项目的访问权限,或获得对存储桶执行操作的权限

创建存储桶

Cloud Storage 使用平面命名空间来存储您的数据,但您可以使用控制台创建文件夹并模拟文件夹层次结构。您的数据并不是以层次结构的形式进行物理存储,而是以类似结构显示在控制台中。

由于 Cloud Storage 没有文件夹概念,因此当您使用 gsutil 或其他任何适用于 Cloud Storage 的命令行工具查看您的文件夹时,您可以看到文件夹后缀和对象名称分隔符。

有关使用控制台创建存储分区的分步指南,请参阅创建存储分区

将数据上传至存储桶

您可以通过上传一个或多个文件或包含多个文件的文件夹将数据上传到您的存储桶。您上传文件夹时,控制台会保留该文件夹的层次结构,包括其中包含的所有文件和文件夹。您可以使用上传进度窗口跟踪上传到控制台的进度,并可将此进度窗口最小化,以继续使用您的存储桶。

请参阅上传对象,了解使用控制台将对象上传到存储分区的分步指南。

您还可以将文件和文件夹从桌面或文件管理器工具拖放到控制台的存储桶或子文件夹,籍以将对象上传到控制台。

从存储桶下载数据

如需有关使用控制台从存储桶下载对象的分步指南,请参阅下载对象

您还可以通过点击对象来查看其详细信息。如果能够显示对象,则详细信息页面会包含对象本身的预览。

创建并使用文件夹

由于 Cloud Storage 系统不包含文件夹这一概念,因此在控制台中创建文件夹便于您整理存储分区中的对象。作为视觉辅助,控制台会显示带有文件夹图标的文件夹,帮助您区分文件夹和对象。

在控制台中,添加到文件夹的对象会看上去是位于此文件夹中。而实际上,所有对象均存在于存储分区级别,只是其名称包含目录结构而已。举例来说,如果您创建名为 pets 的文件夹并将文件 cat.jpeg 添加到该文件夹,控制台会使该文件看似存在于该文件夹中。实际上,并没有单独的文件夹实体:该文件仅存在于存储分区中,只不过采用 pets/cat.jpeg 形式的名称。

与存储分区不同,文件夹不具有全局唯一性。也就是说,一个存储分区名称只有在不存在使用该名称的存储分区时方可使用,但对于文件夹名称而言,只要不在同一存储分区或子文件夹中,就可以重复使用。

在控制台中浏览文件夹时,您可以点击所需文件夹或文件列表上方浏览路径中的存储桶名称来访问更高级别的目录。

如果您使用其他工具处理存储桶和数据,文件夹的呈现方式可能与控制台中的显示有所不同。如需详细了解 gsutil 等不同的工具如何模拟 Cloud Storage 中的文件夹,请参阅文件夹

过滤要查看的存储桶或对象

在项目的存储桶的控制台列表中,您可以使用过滤存储桶文本框来过滤您所看到的存储桶。

  • 您始终可以按存储分区名称前缀过滤存储桶。

  • 对于存储分区少于 1000 个的项目,您始终可以按额外的条件(例如存储分区的位置)过滤存储分区。

  • 对于存储分区超过 1000 个的项目,您必须使用过滤文本框旁边显示的下拉列表来启用额外条件过滤功能。但是请注意,启用额外条件过滤功能后,具有 1000 个存储桶的项目的过滤性能会下降。

在存储分区的对象的控制台 列表中,您可以通过在对象列表上方的“按对象或文件夹名称前缀过滤…”(Filter by object or folder name prefix…) 文本框中指定前缀来过滤您所看到的对象。此过滤条件会显示以指定前缀开头的对象。这种前缀只会过滤当前存储分区视图中的对象:它不会选择文件夹中包含的对象。

设置对象元数据

您可以在控制台中配置对象的元数据。对象元数据可控制请求处理方式的方方面面,包括数据所表示的内容类型以及数据的编码方式。使用控制台时,一次只能设置一个对象的元数据。使用 gsutil setmeta 时,可以同时设置多个对象的元数据。

有关查看和修改对象元数据的分步指南,请参阅查看和修改对象元数据

删除对象、文件夹和存储分区

您可以选择旁边的复选框,点击删除按钮并确认您要继续该操作,从而在 Google Cloud 控制台中删除存储桶、文件夹或对象。删除某个文件夹或存储分区时,该文件夹或存储分区所含的全部对象也会随之一起删除,包括已标记为公开的所有对象。

有关使用控制台从存储桶中移除对象的分步指南,请参阅删除对象

请参阅删除存储桶,了解使用控制台从项目中删除存储桶的分步指南。

公开共享您的数据

当您公开共享对象时,对象的公共访问权限列中会显示一个链接图标。点击此链接会显示用于访问对象的公开网址。

公开网址不同于直接右键点击对象时所关联的链接。这两种链接均可访问对象,但公开网址无需登录 Google 帐号即可使用。如需了解详情,请参阅请求端点

如需了解如何访问公开共享的对象,请参阅访问公开数据

要停止公开共享某一对象,请按如下所述操作:

您可以移除有 allUsersallAuthenticatedUsers 作为主帐号的任何权限条目,以停止公开共享对象。

使用公共访问权限列

控制台中的存储桶和对象都有“公共访问权限”列,指明公开共享资源的时间。

存储桶级别公共访问权限列

存储分区的公共访问权限列可以具有以下值:对互联网公开非公开取决于对象 ACL

如果存储分区具有满足以下条件的 IAM 角色,则该存储分区为对互联网公开

  • 该角色被授予给主帐号 allUsersallAuthenticatedUsers
  • 该角色至少具有一项存储权限storage.buckets.createstorage.buckets.list 除外)。

如果不满足这些条件,则存储分区为非公开取决于对象 ACL

对象级别公共访问权限列

如果满足以下任一条件,则对象会被视为公开:

  1. 对象的访问控制列表 (ACL) 包括 allUsersallAuthenticatedUsers 的条目。

  2. 包含该对象的存储分区具有满足以下条件的 IAM 角色:

    • 该角色被授予给主帐号 allUsersallAuthenticatedUsers
    • 该角色至少具有以下一项存储权限storage.objects.getstorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update

如果满足上述任一条件,则对象的公共访问权限列将显示为对互联网公开

如果不满足这些条件,则对象的公共访问权限列将显示为非公开

设置存储分区权限

您可以通过使用 IAM 权限来控制对 Cloud Storage 存储分区的访问权限。例如,您可以设置存储分区的权限,以允许实体(如用户或群组)查看存储分区中的对象或创建对象。如果在项目级层添加用户不合适,则可以执行此操作。对于在 IAM 权限中指定的实体,必须登录 Google 进行身份验证才能访问存储分区。要与用户共享存储分区网址,请使用 https://console.cloud.google.com/storage/browser/BUCKET_NAME/ 形式。

设置对象权限

通过在控制台中使用 IAM 权限,您可以轻松、统一地控制对存储分区中对象的访问权限。如果您想要自定义针对存储分区中个别对象的访问权限,请改用签名网址访问控制列表 (ACL)

有关查看和修改 IAM 权限的分步指南,请参阅使用 IAM 权限

要查看或更改单个对象的权限,请参阅更改 ACL

为用户分配项目级层角色

当您创建项目时,系统会为您分配 Owner IAM 角色。其他实体(如协作者)必须拥有自己的角色才能使用您的项目的存储分区和对象。

一旦您获得了项目的一个角色,相应项目名称即会显示在您的项目列表中。如果您是现有项目所有者,则可以向主帐号授予对项目的访问权限。有关添加和移除项目级访问权限的分步指南,请参阅在项目中使用 IAM

使用对象版本控制

您可以启用对象版本控制,以便保留对象的非当前版本来应付发生意外删除或替换的情况:但是,启用对象版本控制会增加存储费用。您可以在启用对象版本控制的同时添加对象生命周期管理条件,从而降低费用。这些条件会根据您指定的设置自动删除或降级较旧的对象版本。用于删除对象的配置示例为此使用场景提供了一组可能的条件。

对象的非当前版本在对象的版本记录标签页中列出和管理。

使用 Cloud Data Loss Prevention 扫描存储分区

Cloud Data Loss Prevention (Cloud DLP) 是一项服务,可让您识别和保护存储分区中的敏感数据。Cloud DLP 可以通过查找和遮盖以下这类信息来帮助您满足合规性要求:

  • 信用卡号
  • IP 地址
  • 其他形式的个人身份信息

如需查看 Cloud DLP 可检测的数据类型列表,请参阅 InfoType 检测器参考

您可以为存储分区启动 Cloud DLP 扫描,方法是:点击存储分区的三点状菜单,然后选择使用 Cloud Data Loss Prevention 扫描。如需有关对存储分区执行 Cloud DLP 扫描的指南,请参阅检查 Cloud Storage 位置