Partilha e colaboração

Este documento apresenta cenários comuns de partilha e colaboração de dados. Inclui informações sobre como configurar as políticas de gestão de identidade e de acesso (IAM) do seu projeto e contentor para implementar os cenários.

Armazenamento e manutenção de dados privados

Neste cenário, o analista de marketing de uma empresa quer usar o Cloud Storage para fazer uma cópia de segurança de previsões de receita confidenciais e dados de projeção de vendas. Os dados têm de ser acessíveis apenas ao analista de marketing. O departamento de TI da empresa supervisiona e gere a conta do Cloud Storage da empresa. As suas principais responsabilidades de gestão incluem a criação e a partilha de contentores para que vários departamentos em toda a empresa tenham acesso ao Cloud Storage.

Para satisfazer as necessidades de confidencialidade e privacidade do analista de marketing, as autorizações do contentor e do objeto têm de permitir que a equipa de TI mantenha o contentor no qual as folhas de cálculo estão armazenadas, mas também garantir que a equipa de TI não pode ver/transferir os dados armazenados no contentor. Para o fazer, crie um contentor denominado finance-marketing e conceda as seguintes funções para os recursos indicados aos principais especificados:

Função	Recurso	Principal	Descrição
Proprietário de contentores antigos do Storage	O contentor finance-marketing	Pessoal de TI	Atribuir à equipa de TI a função Proprietário do contentor antigo do Storage para o contentor permite-lhe realizar tarefas comuns de gestão de contentores, como eliminar objetos e alterar a política de IAM no contentor. Também permite que a equipa de TI liste o conteúdo do contentor finance-marketing, mas não veja nem transfira nenhum dos conteúdos.
Utilizador do objeto de armazenamento	O contentor finance-marketing	Analista de marketing	Atribuir à analista de marketing a função de utilizador de objetos de armazenamento para o contentor permite-lhe carregar, ver, atualizar e eliminar objetos no contentor.

Com estas funções, ninguém, exceto o analista de marketing, pode ver ou transferir os objetos que estão no contentor. A equipa de TI pode continuar a listar o conteúdo do contentor finance-marketing e pode eliminar e substituir os ficheiros armazenados no contentor, se necessário.

Implemente este cenário

As suas ações

Deve realizar as seguintes ações para implementar o cenário:

1. Crie um contentor com o nome finance-marketing. Para ver instruções passo a passo, consulte o artigo Criar um contentor.

2. Atribua a cada membro da equipa de TI a função Proprietário de contentores antigos do Storage para o contentor. Para instruções passo a passo, consulte o artigo Adicionar um principal a uma política ao nível do contentor.

Ações dos funcionários de TI

A equipa de TI deve realizar as seguintes ações para implementar o cenário:

1. Atribua ao analista de marketing a função Utilizador de objetos de armazenamento para o contentor. Para instruções passo a passo, consulte o artigo Adicionar um principal a uma política ao nível do contentor.

Caixa de recolha do fornecedor

Neste cenário, uma empresa de construção trabalha com várias empresas de design arquitetónico que fornecem planos de construção para vários projetos. A empresa de construção quer configurar uma caixa de depósito para as empresas fornecedoras, para que possam carregar planos arquitetónicos em vários marcos do projeto. A caixa de depósito tem de garantir a privacidade dos clientes da empresa de construção, o que significa que não pode permitir que os fornecedores vejam o trabalho uns dos outros. Para o fazer, deve criar um contentor separado para cada empresa de arquitetura e conceder as seguintes funções para os recursos indicados aos diretores especificados:

Função	Recurso	Principal	Descrição
Proprietário	Projeto geral	Gestor de empresa de construção	Atribuir a função de proprietário ao gestor da empresa de construção ao nível do projeto permite-lhe criar contentores para cada fornecedor.
Storage Object Viewer	Projeto geral	Gestor de empresa de construção	O Visualizador de objetos de armazenamento permite que o gestor da empresa de construção transfira os objetos que os fornecedores estão a carregar.
Proprietário de contentores antigos do Storage	Cada segmento de fornecedores	Gestor de empresa de construção	A função Proprietário do contentor antigo de armazenamento permite ao gestor da empresa de construção listar o conteúdo de cada contentor, bem como eliminar objetos no final de cada marco do projeto.
Administrador de objetos de armazenamento	Cada segmento de fornecedores	O fornecedor associado ao contentor	Conceder a cada fornecedor a função Administrador de objetos de armazenamento para o respetivo contentor dá-lhe controlo total sobre os objetos no respetivo contentor, incluindo a capacidade de carregar objetos, listar objetos no contentor e controlar quem tem acesso a cada objeto. Não lhes permite alterar nem ver metadados, como funções no contentor como um todo, nem lhes permite listar ou ver outros contentores no projeto, preservando assim a privacidade entre fornecedores.

Implemente este cenário

As suas ações

Deve realizar as seguintes ações para implementar o cenário:

1. Atribua ao gestor da empresa de construção a função de proprietário no projeto, bem como a função de leitor de objetos de armazenamento no projeto. Para ver instruções passo a passo, consulte o artigo Conceda uma única função.

Ações do gestor da empresa de construção

O gestor da empresa de construção deve realizar as seguintes ações para implementar o cenário:

1. Crie um contentor separado para cada fornecedor. Para ver instruções passo a passo, consulte o artigo Criar um contentor.

   Uma vez que a gestora de construção tem a função de proprietário, recebe automaticamente a função de proprietário do contentor antigo de armazenamento para cada contentor que cria.

2. Conceda a cada fornecedor a função Administrador de objetos de armazenamento para o respetivo contentor. Para instruções passo a passo, consulte o artigo Adicionar um principal a uma política ao nível do contentor.

3. Se algum fornecedor pretender usar a Google Cloud consola, dê-lhe um link para o respetivo contentor, que tem o seguinte formato:

   https://console.cloud.google.com/storage/browser/BUCKET_NAME

   onde BUCKET_NAME é o nome do contentor do fornecedor.

Ações do fornecedor

Cada fornecedor deve tomar as seguintes medidas para implementar o cenário:

1. Carregue objetos para o contentor atribuído. A forma mais fácil de o fazer é através da Google Cloud consola. Outros métodos, como a CLI do Google Cloud, requerem uma configuração adicional antes da utilização. Para ver instruções passo a passo, consulte o artigo Carregar um objeto.

Transferências de navegadores autenticadas

Neste cenário, um cliente quer disponibilizar ficheiros a indivíduos específicos através de transferências simples do navegador. Pode fazê-lo através da autenticação baseada em cookies do Cloud Storage. Para transferir objetos, os utilizadores têm de se autenticar iniciando sessão numa conta válida, que inclui o Google Workspace, o Cloud ID, o Gmail e a federação de identidades da força de trabalho. Os seguintes utilizadores autenticados podem transferir o objeto:

• Os utilizadores que têm autorização READ ou FULL_CONTROL na lista de controlo de acesso (LCA) do próprio objeto.

• Os utilizadores com a autorização storage.objects.get na política de gestão de identidade e de acesso (IAM) para o contentor ou o projeto que contém o objeto.

Todos os outros utilizadores recebem um erro 403 Forbidden (access denied).

Para usar a funcionalidade, conceda a um utilizador autorização para aceder a um objeto e, em seguida, dê-lhe um URL especial para o objeto. Quando o utilizador clica no URL, o Cloud Storage pede-lhe que inicie sessão na respetiva conta (se ainda não tiver sessão iniciada) e o objeto é transferido para o computador.

Implemente este cenário

Pode implementar a autenticação baseada em cookies em quatro passos gerais:

1. Crie um contentor. Para ver instruções passo a passo, consulte o artigo Criar um contentor.

   Se criar um contentor num projeto que lhe pertence, recebe automaticamente autorizações que lhe permitem carregar objetos para o contentor e alterar quem tem acesso ao contentor.

2. Carregue o objeto que quer partilhar. Para ver instruções passo a passo, consulte o artigo Carregar um objeto.

3. Conceda aos utilizadores acesso ao objeto. Uma forma comum de o fazer é modificar a política de IAM do contentor para atribuir a função Visualizador de objetos de armazenamento a utilizadores específicos, que se aplica a todos os objetos no contentor. Para ver instruções passo a passo, consulte o artigo Adicionar um principal a uma política ao nível do contentor.

4. Forneça aos utilizadores um URL especial para o objeto.

   Os downloads autenticados do navegador acedem ao Cloud Storage através de um ponto final de URL específico. Use o seguinte URL:

   https://storage.cloud.google.com/BUCKET_NAME/OBJECT_NAME

   Onde:

   • BUCKET_NAME é o nome do contentor que contém o objeto pretendido. Por exemplo, my-bucket.
   • OBJECT_NAME é o nome do objeto pretendido. Por exemplo, pets/dog.png.

   Uma vez que apenas os utilizadores com as autorizações de acesso adequadas podem vê-lo, não importa como disponibiliza este URL. Pode enviá-lo diretamente à pessoa ou publicá-lo numa página Web.

Use um grupo para controlar o acesso

Neste cenário, quer disponibilizar objetos a utilizadores específicos, como utilizadores convidados a experimentar novo software. Além disso, quer convidar muitos utilizadores, mas não quer definir autorizações para cada utilizador individualmente. Ao mesmo tempo, não quer tornar os objetos publicamente legíveis e enviar aos clientes convidados links para aceder aos objetos, porque existe o risco de os links serem enviados a utilizadores que não foram convidados.

Uma forma de lidar com este cenário é através da utilização dos Grupos Google. Pode criar um grupo e adicionar apenas utilizadores convidados ao mesmo. Em seguida, pode conceder ao grupo como um todo acesso aos objetos:

Função	Recurso	Principal	Descrição
Storage Object Viewer	O seu contentor	Grupo Google	Atribuir ao grupo Google a função Leitor de objetos de armazenamento para o contentor permite que qualquer cliente que faça parte do grupo Google veja objetos no contentor. Nenhuma pessoa externa ao grupo tem acesso aos objetos.

Implemente este cenário

1. Crie um Grupo Google e adicione-lhe clientes. Para ver instruções passo a passo, consulte o artigo Crie um grupo.

2. Crie um contentor. Para ver instruções passo a passo, consulte o artigo Criar um contentor.

3. Carregue objetos para o seu contentor. Para ver instruções passo a passo, consulte o artigo Carregar um objeto.

4. Conceda ao grupo Google acesso aos objetos.

   • Pode usar a função do IAM storage.objectViewer para conceder acesso de visualização a todos os objetos no seu contentor. Para instruções passo a passo, consulte o artigo Adicionar um principal a uma política ao nível do contentor.

   • Se quiser conceder acesso apenas a alguns dos objetos no contentor, defina a ACL Reader nesses objetos individuais. Para ver instruções passo a passo, consulte o artigo Definir ACLs.

5. Partilhe o ponto final de pedido adequado com o grupo para que saiba onde aceder aos objetos.

   Por exemplo, quando usa a Google Cloud consola, o URL https://console.cloud.google.com/storage/browser/BUCKET_NAME leva-o à lista de objetos no contentor BUCKET_NAME.

Use pastas geridas para controlar o acesso

Neste cenário, tem vários clientes que são proprietários de um Website único com imagens personalizadas. Quer que os clientes possam carregar imagens apenas para o seu Website e não para outros Websites. Quando um cliente cancela a respetiva conta, quer desativar o acesso público às imagens no respetivo Website, mas evitar eliminar as imagens caso o cliente queira reativar a respetiva conta.

Uma forma de lidar com este cenário é através da utilização de pastas geridas. Pode criar várias pastas geridas num contentor e usar o IAM para controlar o acesso a pastas geridas individuais para os seus clientes e respetivos utilizadores finais.

Implemente este cenário

1. Crie um contentor.

2. Crie uma pasta gerida no contentor para cada Website do cliente.

3. Para cada pasta gerida, defina uma política de IAM que conceda a um cliente a função de utilizador de objetos de armazenamento (roles/storage.objectUser), para que o cliente possa carregar objetos para a pasta gerida e remover objetos da pasta gerida.

4. Para todas as pastas geridas, defina uma política de IAM que conceda a função de leitor de objetos do Storage (roles/storage.objectViewer) ao principal allUsers, para que os objetos de imagem nas pastas geridas possam ser visíveis para o público.

   Em alternativa, pode conceder uma função personalizada que conceda à allUsers a autorização IAM storage.objects.get.

5. Quando um cliente cancela a respetiva conta, remova a política de IAM que concede ao cliente a função de utilizador de objetos de armazenamento (roles/storage.objectUser) para a pasta gerida associada. Para desativar o acesso público aos objetos nessa pasta gerida, remova a política de IAM que concede a função de visualizador de objetos de armazenamento (roles/storage.objectViewer) a allUsers.