Questo documento fornisce scenari comuni di collaborazione e condivisione dei dati. Include le modalità di configurazione dei criteri di Identity and Access Management (IAM) del progetto e del bucket e degli elenchi di controllo dell'accesso (ACL) degli oggetti per implementare gli scenari.
Archiviazione e manutenzione di dati privati
In questo scenario, l'analista di marketing di un'azienda vuole utilizzare Cloud Storage per eseguire il backup di previsioni riservate delle entrate e dati di proiezione delle vendite. I dati devono essere accessibili solo all'analista di marketing. Il reparto IT supervisiona e gestisce l'account Cloud Storage dell'azienda. Le loro principali responsabilità di gestione includono la creazione e la condivisione di bucket in modo che i vari reparti dell'azienda abbiano accesso a Cloud Storage.
Per soddisfare le esigenze di riservatezza e privacy dell'analista di marketing, le autorizzazioni dei bucket e degli oggetti devono consentire al personale IT di gestire il bucket in cui sono archiviati i fogli di lavoro e di assicurarsi che non possano visualizzare/scaricare i dati archiviati nel bucket. A questo scopo, crei un bucket denominato finance-marketing e concedi i seguenti
ruoli per le risorse elencate alle entità specificate:
| Ruolo | Risorsa | Entità | Descrizione |
|---|---|---|---|
| Proprietario bucket legacy Storage | Il bucket finance-marketing |
Personale IT | Concedere al personale IT il ruolo Proprietario bucket legacy di Storage per il bucket consente di eseguire attività comuni di gestione dei bucket, come eliminare oggetti e modificare il criterio IAM sul bucket. Consente inoltre al personale IT di elencare i contenuti del bucket finance-marketing, ma non di visualizzarne né scaricarne nessuno. |
| Creatore oggetti Storage | Il bucket finance-marketing |
Analista di marketing | Assegnando all'analista di marketing il ruolo Creatore oggetti Storage per il bucket, può caricare oggetti al suo interno. A questo punto, diventa la proprietaria dell'oggetto caricato, che potrà visualizzare, aggiornare ed eliminare. |
Con questi ruoli, nessuno tranne l'analista di marketing può visualizzare/scaricare gli oggetti che aggiunge al bucket. Può tuttavia concedere l'accesso ad altri utenti modificando gli ACL dell'oggetto. Il personale IT può comunque elencare i contenuti del bucket finance-marketing ed eliminare e sostituire i file archiviati nel bucket in caso di necessità.
Implementa questo scenario
Le tue azioni
Per implementare lo scenario, devi intraprendere le seguenti azioni:
Crea un bucket denominato
finance-marketing. Per istruzioni dettagliate, consulta Creazione di un bucket.Assegna a ogni membro del personale IT il ruolo Proprietario bucket legacy di Storage per il bucket. Per istruzioni dettagliate, consulta Aggiunta di un'entità a un criterio a livello di bucket.
Azioni del personale IT
Per implementare lo scenario, il personale IT deve eseguire le seguenti azioni:
- Assegna all'analista di marketing il Creatore oggetti Storage per il bucket. Per istruzioni dettagliate, consulta Aggiunta di un'entità a un criterio a livello di bucket.
Casella personale del fornitore
In questo scenario, un'azienda di costruzioni collabora con diverse aziende di progettazione architettonica che forniscono piani edili per vari progetti. L'azienda di costruzioni vuole configurare una casella personale per le ditte dei fornitori in modo che possano caricare i piani dell'architettura in base alle diverse tappe del progetto. La casella personale deve garantire la privacy dei clienti dell'azienda di costruzioni, il che significa che non può consentire ai fornitori di vedere il lavoro degli altri. A questo scopo, devi creare un bucket separato per ogni azienda di architettura e concedere i seguenti ruoli per le risorse elencate alle entità specificate:
| Ruolo | Risorsa | Entità | Descrizione |
|---|---|---|---|
| Proprietario | Progetto complessivo | Responsabile di ditta di costruzioni | Assegnare al responsabile dell'impresa di costruzione il ruolo di Proprietario a livello di progetto le consente di creare bucket per ogni fornitore. |
| Visualizzatore oggetti Storage | Progetto complessivo | Responsabile di ditta di costruzioni | Il Visualizzatore oggetti Storage consente al responsabile dell'azienda di costruzione di scaricare gli oggetti caricati dai fornitori. |
| Proprietario bucket legacy Storage | Ogni bucket del fornitore | Responsabile di ditta di costruzioni | Il ruolo Proprietario bucket legacy Storage consente al responsabile dell'azienda di costruzione di elencare i contenuti di ciascun bucket ed eliminare gli oggetti alla fine di ogni punto saliente del progetto. |
| Amministratore oggetti Storage | Ogni bucket del fornitore | Il fornitore associato al bucket | Concedendo a ciascun fornitore il ruolo Amministratore oggetti Storage per il proprio bucket, avrà il controllo completo sugli oggetti nel bucket, inclusa la possibilità di caricare oggetti, elencare gli oggetti nel bucket e controllare chi può accedere a ciascun oggetto. Non consente loro di modificare o visualizzare metadati come i ruoli nel bucket nel suo complesso, né di elencare o visualizzare altri bucket nel progetto, tutelando così la privacy tra i fornitori. |
Implementa questo scenario
Le tue azioni
Per implementare lo scenario, devi intraprendere le seguenti azioni:
- Assegna al responsabile dell'azienda di costruzione il ruolo di Proprietario del progetto e il ruolo di Visualizzatore oggetti Storage per il progetto. Per istruzioni dettagliate, vedi Concedere un singolo ruolo.
Azioni del responsabile di un'azienda di costruzione
Per implementare lo scenario, il responsabile dell'azienda di costruzioni deve intraprendere le seguenti azioni:
Creare un bucket separato per ciascun fornitore. Per istruzioni dettagliate, consulta Creazione di un bucket.
Poiché il responsabile delle costruzioni dispone del ruolo Proprietario, riceve automaticamente il ruolo Proprietario bucket legacy Storage per ogni bucket che crea.
Assegna a ciascun fornitore il ruolo Amministratore oggetti Storage per il rispettivo bucket. Per istruzioni dettagliate, consulta Aggiunta di un'entità a un criterio a livello di bucket.
Se un fornitore intende utilizzare la console Google Cloud, fornisci un link al proprio bucket, che presenta il formato:
https://console.cloud.google.com/storage/browser/BUCKET_NAMEdove
BUCKET_NAMEè il nome del bucket del fornitore.
Azioni dei fornitori
Ogni fornitore deve intraprendere le seguenti azioni per implementare lo scenario:
Caricare oggetti nel bucket assegnato. Il modo più semplice per farlo è mediante la console Google Cloud. Altri metodi, come Google Cloud CLI, richiedono una configurazione aggiuntiva prima dell'uso. Per istruzioni dettagliate, consulta Caricamento di un oggetto.
Download da browser autenticati
In questo scenario, un cliente vuole rendere disponibili file specifici a persone specifiche attraverso semplici download da browser. Puoi eseguire questa operazione utilizzando l'autenticazione basata su cookie di Cloud Storage. Per scaricare gli oggetti, gli utenti devono eseguire l'autenticazione accedendo a un account valido, che includa Google Workspace, Cloud Identity, Gmail e la federazione delle identità per la forza lavoro. I seguenti utenti autenticati possono scaricare l'oggetto:
Utenti con autorizzazione
READoFULL_CONTROLnell'elenco di controllo dell'accesso (ACL) dell'oggetto stesso.Utenti con autorizzazione
storage.objects.getnel criterio Identity and Access Management (IAM) per il bucket o il progetto che contiene l'oggetto.
Tutti gli altri utenti ricevono un errore 403 Forbidden (access denied).
Per utilizzare la funzionalità, concedi a un utente l'autorizzazione ad accedere a un oggetto, quindi assegna all'utente un URL speciale per l'oggetto. Quando l'utente fa clic sull'URL, Cloud Storage gli chiede di accedere al proprio account (se non ha già eseguito l'accesso) e l'oggetto viene scaricato sul computer.
Implementa questo scenario
Puoi implementare l'autenticazione basata su cookie seguendo quattro passaggi generali:
Crea un bucket. Per istruzioni dettagliate, consulta Creazione di un bucket.
Supponendo di creare un bucket in un progetto di tua proprietà, ottieni automaticamente le autorizzazioni che ti consentono di caricare oggetti nel bucket e modificare gli utenti che hanno accesso al bucket.
Carica l'oggetto che vuoi condividere. Per istruzioni passo passo, consulta Caricamento di un oggetto.
Quando carichi un oggetto, ne diventi il proprietario, il che significa che puoi modificare i relativi ACL.
Concedi agli utenti l'accesso all'oggetto. Puoi farlo in due modi:
Modifica il criterio IAM del bucket per assegnare a ciascun utente desiderato il ruolo Visualizzatore oggetti Storage, che si applica a tutti gli oggetti nel bucket. Per istruzioni dettagliate, consulta Aggiunta di un'entità a un criterio a livello di bucket.
Modifica gli ACL dell'oggetto in modo da concedere a ogni utente desiderato l'autorizzazione
READper il singolo oggetto. Per istruzioni dettagliate, consulta Impostazione degli ACL.
Fornisci agli utenti un URL speciale per l'oggetto.
I download del browser autenticato accedono a Cloud Storage tramite un endpoint URL specifico. Usa il seguente URL:
https://storage.cloud.google.com/BUCKET_NAME/OBJECT_NAMEDove:
BUCKET_NAMEè il nome del bucket che contiene l'oggetto desiderato. Ad esempio,my-bucket.OBJECT_NAMEè il nome dell'oggetto desiderato. Ad esempio,pets/dog.png.
Poiché solo gli utenti con le autorizzazioni ACL o IAM appropriate possono visualizzarlo, non è importante sapere come rendi disponibile questo URL. Puoi inviarlo direttamente o pubblicarlo su una pagina web.
Utilizzare un gruppo per controllare l'accesso
In questo scenario, vuoi rendere disponibili oggetti a utenti specifici, ad esempio gli utenti invitati a provare nuovo software. Inoltre, vuoi invitare molti utenti, ma non vuoi impostare le autorizzazioni per ogni singolo utente. Allo stesso tempo, preferisci non rendere gli oggetti leggibili pubblicamente e inviare ai clienti invitati link per accedere agli oggetti, perché c'è il rischio che i link vengano inviati a utenti non invitati.
Un modo per gestire questo scenario è utilizzare Google Gruppi. Puoi creare un gruppo a cui aggiungere solo gli utenti invitati. Quindi, puoi concedere all'intero gruppo l'accesso agli oggetti:
| Ruolo | Risorsa | Entità | Descrizione |
|---|---|---|---|
| Visualizzatore oggetti Storage | Il tuo bucket | Gruppo Google | L'assegnazione al gruppo Google del ruolo Visualizzatore oggetti Storage per il bucket consente a qualsiasi cliente che fa parte del gruppo Google di visualizzare gli oggetti che contiene. Nessun utente esterno al gruppo ha accesso agli oggetti. |
Implementa questo scenario
Creare un gruppo Google a cui aggiungere clienti. Per istruzioni dettagliate, vedi Creare un gruppo.
Creare un bucket. Per istruzioni dettagliate, consulta Creazione di un bucket.
Caricare oggetti nel bucket. Per istruzioni passo passo, consulta Caricamento di un oggetto.
Concedi al gruppo Google l'accesso agli oggetti.
Puoi utilizzare il ruolo IAM storage.objectViewer per concedere l'accesso in visualizzazione a tutti gli oggetti nel bucket. Per istruzioni dettagliate, consulta Aggiunta di un'entità a un criterio a livello di bucket.
Se vuoi concedere l'accesso solo ad alcuni oggetti nel bucket, imposta l'ACL Reader sui singoli oggetti. Per istruzioni dettagliate, consulta Impostazione degli ACL.
Condividi l'endpoint della richiesta appropriato con il gruppo, in modo che sappia dove andare per accedere agli oggetti.
Ad esempio, quando utilizzi la console Google Cloud, l'URL
https://console.cloud.google.com/storage/browser/BUCKET_NAMEindirizza all'elenco degli oggetti nel bucketBUCKET_NAME.
Utilizza le cartelle gestite per controllare l'accesso
In questo scenario, hai più clienti che possiedono ciascuno un sito web unico contenente immagini personalizzate. Vuoi che i clienti possano caricare immagini solo sul loro sito web, ma non su altri siti web. Quando un cliente cancella il proprio account, vuoi disabilitare l'accesso pubblico alle immagini sul sito web, ma evita di eliminarle nel caso in cui il cliente voglia riattivare l'account.
Un modo per gestire questo scenario è utilizzare le cartelle gestite. Puoi creare più cartelle gestite all'interno di un bucket e utilizzare IAM per controllare l'accesso alle singole cartelle gestite sia per i tuoi clienti che per i loro utenti finali.
Implementa questo scenario
Crea una cartella gestita nel bucket per ciascun sito web del cliente.
Per ogni cartella gestita, imposta un criterio IAM che conceda a un cliente il ruolo Utente oggetti Storage (
roles/storage.objectUser), in modo che possa caricare oggetti nella cartella gestita e rimuovere oggetti dalla cartella gestita.Per tutte le cartelle gestite, imposta un criterio IAM che conceda il ruolo Visualizzatore oggetti Storage (
roles/storage.objectViewer) all'entitàallUsers, in modo che gli oggetti immagine nelle cartelle gestite siano visibili al pubblico.In alternativa, puoi concedere un ruolo personalizzato che conceda a
allUsersl'autorizzazione IAMstorage.objects.get.Quando un cliente annulla il proprio account, rimuovi il criterio IAM che gli assegna il ruolo Utente oggetti Storage (
roles/storage.objectUser) per la cartella gestita associata. Per disabilitare l'accesso pubblico agli oggetti all'interno della cartella gestita, rimuovi il criterio IAM che concede il ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer) aallUsers.