Questo documento fornisce scenari comuni di collaborazione e condivisione dei dati. it include la configurazione del progetto e del bucket Criteri di Identity and Access Management (IAM) e il tuo oggetto Elenchi di controllo dell'accesso (ACL) per implementare gli scenari.
Archiviazione e manutenzione di dati privati
In questo scenario, l'analista di marketing di un'azienda vuole usare Cloud Storage per fare il backup di previsioni delle entrate riservate e dati di proiezione delle vendite. La i dati devono essere accessibili solo all'analista di marketing. L'IT dell'azienda supervisione e gestione dell'account Cloud Storage dell'azienda. Loro le principali responsabilità di gestione includono la creazione e la condivisione di bucket in modo che i vari reparti dell'azienda abbiano accesso a Cloud Storage.
Per soddisfare le esigenze di riservatezza e privacy dell'analista di marketing, il
le autorizzazioni dei bucket e degli oggetti devono consentire al personale IT di
in cui sono archiviati i fogli di lavoro, ma assicura anche che il personale IT
non può visualizzare/scaricare i dati archiviati nel bucket. Per portare a termine
crei un bucket denominato finance-marketing e concedi quanto segue
roles per le risorse elencate per le entità specificate:
| Ruolo | Risorsa | Entità | Descrizione |
|---|---|---|---|
| Proprietario bucket legacy Storage | Il bucket finance-marketing |
Personale IT | Concedere al personale IT il ruolo Proprietario bucket legacy di Storage per il bucket consente di eseguire attività comuni di gestione dei bucket, come eliminare oggetti e modificare il criterio IAM sul bucket. Consente inoltre al personale IT di elencare i contenuti del bucket finance-marketing, ma non di visualizzarne né scaricarne nessuno. |
| Creatore oggetti Storage | Il bucket finance-marketing |
Analista di marketing | Assegnando all'analista di marketing il ruolo Creatore oggetti Storage per il bucket, può caricare oggetti al suo interno. A questo punto, diventa la proprietaria dell'oggetto caricato, che potrà visualizzare, aggiornare ed eliminare. |
Con questi ruoli, nessuno tranne l'analista di marketing può visualizzare/scaricare
gli oggetti che aggiunge al bucket. Tuttavia, può concedere ad altri utenti
all'accesso modificando gli ACL dell'oggetto. Il personale IT può comunque
elencare i contenuti del bucket finance-marketing, che possono eliminare
e sostituire i file archiviati nel bucket in caso di necessità.
Implementa questo scenario
Le tue azioni
Per implementare lo scenario, devi intraprendere le seguenti azioni:
Crea un bucket denominato
finance-marketing. Per istruzioni passo passo, consulta Creazione di un bucket.Assegna a ogni membro del personale IT il ruolo Proprietario bucket legacy Storage per nel bucket. Per istruzioni passo passo, vedi Aggiunta di un'entità a un criterio a livello di bucket.
Azioni del personale IT
Per implementare lo scenario, il personale IT deve eseguire le seguenti azioni:
- Assegna all'analista di marketing il Creatore oggetti Storage per lo di sincronizzare la directory di una VM con un bucket. Per istruzioni passo passo, vedi Aggiunta di un'entità a un criterio a livello di bucket.
Casella personale del fornitore
In questo scenario, un'azienda di costruzioni lavora con diverse architetture ditte di design che forniscono piani edilizi per vari progetti. Costruzione vuole configurare una casella personale per le ditte dei fornitori in modo che possano caricare dei progetti architettonici in vari obiettivi del progetto. La casella personale deve garantire la privacy dei clienti dell'azienda di costruzioni, il che significa che non possono consentire ai fornitori di vedere il lavoro degli altri. A questo scopo, creare un bucket separato per ogni studio di architettura e concedere seguenti ruoli per le risorse elencate per le entità specificate:
| Ruolo | Risorsa | Entità | Descrizione |
|---|---|---|---|
| Proprietario | Progetto complessivo | Responsabile di ditta di costruzioni | Assegnare al responsabile dell'impresa di costruzione il ruolo di Proprietario a livello di progetto le consente di creare bucket per ogni fornitore. |
| Visualizzatore oggetti Storage | Progetto complessivo | Responsabile di ditta di costruzioni | Il Visualizzatore oggetti Storage consente al responsabile dell'azienda di costruzione di scaricare gli oggetti caricati dai fornitori. |
| Proprietario bucket legacy Storage | Ogni bucket del fornitore | Responsabile di ditta di costruzioni | Il ruolo Proprietario bucket legacy Storage consente al responsabile dell'azienda di costruzione di elencare i contenuti di ciascun bucket ed eliminare gli oggetti alla fine di ogni punto saliente del progetto. |
| Amministratore oggetti Storage | Ogni bucket del fornitore | Il fornitore associato al bucket | Concedendo a ciascun fornitore il ruolo Amministratore oggetti Storage per il proprio bucket, avrà il controllo completo sugli oggetti nel bucket, inclusa la possibilità di caricare oggetti, elencare gli oggetti nel bucket e controllare chi può accedere a ciascun oggetto. Non consente loro di modificare o visualizzare metadati come i ruoli nel bucket nel suo complesso, né di elencare o visualizzare altri bucket nel progetto, tutelando così la privacy tra i fornitori. |
Implementa questo scenario
Le tue azioni
Per implementare lo scenario, devi intraprendere le seguenti azioni:
- Assegna al responsabile dell'impresa di costruzione il ruolo di Proprietario del progetto in e il ruolo Visualizzatore oggetti Storage per il progetto. Per istruzioni passo passo istruzioni, vedi Concedere un singolo ruolo.
Azioni del responsabile di un'azienda di costruzione
Il responsabile dell'azienda di costruzioni deve intraprendere le seguenti azioni per implementare lo scenario:
Creare un bucket separato per ciascun fornitore. Per istruzioni passo passo, consulta Creazione di un bucket.
Poiché il gestore lavori dispone del ruolo Proprietario, riceve il ruolo Proprietario bucket legacy di Storage per ogni bucket che crea.
Assegnare a ciascun fornitore il ruolo Amministratore oggetti Storage per il rispettivo di sincronizzare la directory di una VM con un bucket. Per istruzioni passo passo, vedi Aggiunta di un'entità a un criterio a livello di bucket.
Se un fornitore vuole utilizzare la console Google Cloud, fornisci un link alla sua bucket, che ha il formato:
https://console.cloud.google.com/storage/browser/BUCKET_NAMEdove
BUCKET_NAMEè il nome del bucket del fornitore.
Azioni dei fornitori
Ogni fornitore deve intraprendere le seguenti azioni per implementare lo scenario:
Caricare oggetti nel bucket assegnato. Il modo più semplice per raggiungere questo obiettivo è tramite la console Google Cloud. Altri metodi, come Google Cloud CLI, richiedono una configurazione aggiuntiva prima dell'uso. Per istruzioni passo passo, vedi Caricamento di un oggetto.
Download da browser autenticati
In questo scenario, un cliente vuole rendere disponibili file specifici singoli utenti tramite semplici download da browser. Puoi eseguire questa operazione utilizzando Autenticazione basata su cookie di Cloud Storage. Per scaricare oggetti, gli utenti devono eseguire l'autenticazione accedendo a un account valido, che include Google Workspace, Cloud Identity, Gmail e federazione delle identità per la forza lavoro. I seguenti utenti autenticati possano scaricare l'oggetto:
Utenti con autorizzazione
READoFULL_CONTROLnella elenco di controllo dell'accesso (ACL) dell'oggetto stesso.Utenti con autorizzazione
storage.objects.getin Criterio Identity and Access Management (IAM) per il bucket o il progetto che contiene l'oggetto.
Tutti gli altri utenti ricevono un errore 403 Forbidden (access denied).
Per utilizzare la funzionalità, concedi a un utente l'autorizzazione ad accedere a un oggetto, quindi assegna un URL speciale all'oggetto. Quando l'utente fa clic sull'URL, Cloud Storage chiede all'utente di accedere al proprio account (se non hanno già effettuato l'accesso) e l'oggetto viene scaricato sul computer in uso.
Implementa questo scenario
Puoi implementare l'autenticazione basata su cookie seguendo quattro passaggi generali:
Crea un bucket. Per istruzioni passo passo, vedi Creazione di un bucket.
Supponendo di creare un bucket in un progetto di tua proprietà, ottieni automaticamente autorizzazioni che ti consentono di caricare oggetti nel bucket e modificare ha accesso al bucket.
Carica l'oggetto che vuoi condividere. Per istruzioni passo passo, consulta la sezione Caricamento di un oggetto.
Quando carichi un oggetto, ne diventi proprietario, ovvero puoi modificare gli ACL dell'oggetto.
Concedi agli utenti l'accesso all'oggetto. Puoi farlo in due modi:
Modificare il criterio IAM del bucket per concedere a ciascun utente desiderato la Visualizzatore oggetti Storage, che si applica a tutti gli oggetti nel ruolo di sincronizzare la directory di una VM con un bucket. Per istruzioni passo passo, vedi Aggiunta di un'entità a un criterio a livello di bucket.
Modifica gli ACL dell'oggetto per assegnare a ogni utente desiderato l'autorizzazione
READil singolo oggetto. Per istruzioni passo passo, vedi Impostazione degli ACL.
Fornisci agli utenti un URL speciale per l'oggetto.
I download da browser autenticati accedono a Cloud Storage tramite una endpoint URL specifico. Usa il seguente URL:
https://storage.cloud.google.com/BUCKET_NAME/OBJECT_NAMEDove:
BUCKET_NAMEè il nome del bucket contiene l'oggetto desiderato. Ad esempio,my-bucket.OBJECT_NAMEè il nome dell'oggetto desiderato. Ad esempio,pets/dog.png.
Poiché solo gli utenti con le autorizzazioni ACL o IAM appropriate possono visualizzarlo, non importa come rendi disponibile questo URL. Puoi inviarglieli direttamente o puoi pubblicarlo su una pagina web.
Utilizzare un gruppo per controllare l'accesso
In questo scenario, vuoi rendere disponibili oggetti a utenti specifici, come utenti invitati a provare un nuovo software. Inoltre, vuoi invitare molti ma non vuoi impostare le autorizzazioni per ogni singolo utente. Allo stesso tempo, non vuoi rendere gli oggetti leggibili pubblicamente e inviare ai clienti invitati link per accedere agli oggetti, esiste il rischio che i link vengano inviati a utenti che non sono invitati.
Un modo per gestire questo scenario è utilizzare Google Gruppi. Puoi creare un gruppo a cui aggiungere solo gli utenti invitati. Quindi, può concedere all'intero gruppo l'accesso agli oggetti:
| Ruolo | Risorsa | Entità | Descrizione |
|---|---|---|---|
| Visualizzatore oggetti Storage | Il tuo bucket | Gruppo Google | L'assegnazione al gruppo Google del ruolo Visualizzatore oggetti Storage per il bucket consente a qualsiasi cliente che fa parte del gruppo Google di visualizzare gli oggetti che contiene. Nessun utente esterno al gruppo ha accesso agli oggetti. |
Implementa questo scenario
Creare un gruppo Google a cui aggiungere clienti. Per istruzioni passo passo istruzioni, vedi Creare un gruppo.
Creare un bucket. Per istruzioni dettagliate, consulta Creazione di un bucket.
Caricare oggetti nel bucket. Per istruzioni passo passo, consulta la sezione Caricamento di un oggetto.
Concedi al gruppo Google l'accesso agli oggetti.
Puoi utilizzare il ruolo IAM storage.objectViewer per concedere l'accesso in visualizzazione a tutti gli oggetti nel bucket. Per istruzioni passo passo, vedi Aggiunta di un'entità a un criterio a livello di bucket.
Se vuoi concedere l'accesso solo ad alcuni oggetti nel bucket, Impostare l'ACL Lettore sui singoli oggetti. Per istruzioni passo passo per le istruzioni, consulta l'articolo Impostazione degli ACL.
Condividere l'endpoint della richiesta appropriato con il gruppo, in modo che sapere dove andare per accedere agli oggetti.
Ad esempio, quando utilizzi la console Google Cloud, l'URL
https://console.cloud.google.com/storage/browser/BUCKET_NAMEporta all'elenco degli oggetti nel bucketBUCKET_NAME.
Utilizza le cartelle gestite per controllare l'accesso
In questo scenario, hai più clienti che possiedono ciascuno un sito web unico contenenti immagini personalizzate. Vuoi che i clienti possano caricare immagini al proprio sito web, ma non ad altri siti web. Quando un cliente annulla la propria vuoi disattivare l'accesso pubblico alle immagini sul loro sito web, evitare di eliminare le immagini nel caso in cui il cliente voglia riattivare la propria .
Un modo per gestire questo scenario è utilizzare le cartelle gestite. Puoi creare più cartelle gestite all'interno di un bucket e utilizzare IAM per controllare l'accesso alle singole cartelle gestite sia per sia per i clienti finali che per i loro utenti finali.
Implementa questo scenario
Crea una cartella gestita nel bucket per ciascun sito web del cliente.
Per ogni cartella gestita, imposta un criterio IAM che garantisca una al cliente il ruolo Utente oggetti Storage (
roles/storage.objectUser), quindi il cliente può caricare oggetti nella cartella gestita e rimuoverli nella cartella gestita.Per tutte le cartelle gestite, imposta un criterio IAM che conceda del ruolo Visualizzatore oggetti Storage (
roles/storage.objectViewer) all'entitàallUsers, quindi gli oggetti immagine nelle cartelle gestite possono essere visibile al pubblico.In alternativa, puoi concedere un ruolo personalizzato che fornisca a
allUsersla Autorizzazione IAMstorage.objects.get.Quando un cliente cancella il proprio account, rimuovi il criterio IAM che concede al cliente il ruolo Utente oggetti Storage (
roles/storage.objectUser) per il cartella gestita associata. Per disabilitare l'accesso pubblico agli oggetti all'interno di cartella gestita, rimuovi il criterio IAM che concede il ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer) aallUsers.