Condivisione e collaborazione

Questo documento fornisce scenari comuni di condivisione e collaborazione dei dati. it include la configurazione del progetto e del bucket Criteri di Identity and Access Management (IAM) e il tuo oggetto Elenchi di controllo dell'accesso (ACL) per implementare gli scenari.

Archiviazione e manutenzione di dati privati

In questo scenario, l'analista di marketing di un'azienda vuole usare Cloud Storage per eseguire il backup di previsioni delle entrate riservate e dati di proiezione delle vendite. I dati devono essere accessibili solo all'analista di marketing. L'IT dell'azienda supervisione e gestione dell'account Cloud Storage dell'azienda. Le loro principali responsabilità di gestione includono la creazione e la condivisione di bucket in modo che vari reparti dell'azienda abbiano accesso a Cloud Storage.

Per soddisfare le esigenze di riservatezza e privacy dell'analista di marketing, le autorizzazioni del bucket e degli oggetti devono consentire al personale IT di gestire il bucket in cui sono archiviati i fogli di lavoro, ma anche garantire che il personale IT non possa visualizzare/scaricare i dati archiviati nel bucket. Per farlo, crea un bucket denominato finance-marketing e concedi i seguenti ruoli per le risorse elencate agli principali specificati:

Ruolo Risorsa Entità Descrizione
Proprietario bucket legacy Storage Il bucket finance-marketing Personale IT Concedere al personale IT il ruolo Proprietario bucket legacy di Storage per il bucket consente di eseguire attività comuni di gestione dei bucket, come eliminare oggetti e modificare il criterio IAM sul bucket. Consente inoltre al personale IT di elencare i contenuti del bucket finance-marketing, ma non di visualizzarne né scaricarne nessuno.
Creatore oggetti Storage Il bucket finance-marketing Analista di marketing Assegnando all'analista di marketing il ruolo Creatore oggetti Storage per il bucket, può caricare oggetti al suo interno. A questo punto, diventa la proprietaria dell'oggetto caricato, che potrà visualizzare, aggiornare ed eliminare.

Con questi ruoli, nessuno tranne l'analista di marketing può visualizzare/scaricare gli oggetti che aggiunge al bucket. Tuttavia, può concedere ad altri utenti all'accesso modificando gli ACL dell'oggetto. Il personale IT può comunque elencare i contenuti del bucket finance-marketing, che possono eliminare e sostituire i file archiviati nel bucket in caso di necessità.

Implementare questo scenario

Le tue azioni

Per implementare lo scenario, devi eseguire le seguenti azioni:

  1. Crea un bucket denominato finance-marketing. Per istruzioni passo passo, consulta Creazione di un bucket.

  2. Assegna a ogni membro del personale IT il ruolo Proprietario bucket legacy Storage per nel bucket. Per istruzioni passo passo, vedi Aggiunta di un'entità a un criterio a livello di bucket.

Azioni del personale IT

Il personale IT deve eseguire le seguenti azioni per implementare lo scenario:

  1. Assegna all'analista di marketing il Creatore oggetti Storage per lo di sincronizzare la directory di una VM con un bucket. Per istruzioni dettagliate, consulta Aggiunta di un principale a un criterio a livello di bucket.

Casella personale del fornitore

In questo scenario, un'azienda di costruzioni collabora con diverse società di progettazione architettonica che forniscono progetti di edifici per vari progetti. L'impresa di costruzioni vuole configurare un Dropbox per le aziende fornitrici in modo che possano caricare i progetti architettonici nei vari traguardi del progetto. La casella personale deve garantire la privacy dei clienti dell'azienda di costruzioni, il che significa che non possono consentire ai fornitori di vedere il lavoro degli altri. Per farlo, crea un bucket separato per ogni studio di architettura e concedi ai principali specificati i seguenti ruoli per le risorse elencate:

Ruolo Risorsa Entità Descrizione
Proprietario Progetto complessivo Responsabile di ditta di costruzioni Assegnare al responsabile dell'impresa di costruzione il ruolo di Proprietario a livello di progetto le consente di creare bucket per ogni fornitore.
Storage Object Viewer Progetto complessivo Responsabile di ditta di costruzioni Il Visualizzatore oggetti Storage consente al responsabile dell'azienda di costruzione di scaricare gli oggetti caricati dai fornitori.
Storage Legacy Bucket Owner Ogni bucket del fornitore Responsabile di ditta di costruzioni Il ruolo Proprietario del bucket legacy di archiviazione consente al gestore dell'azienda di costruzione di elencare i contenuti di ogni bucket ed eliminare gli oggetti al termine di ogni traguardo del progetto.
Amministratore oggetti Storage Ogni bucket del fornitore Il fornitore associato al bucket Concedendo a ciascun fornitore il ruolo Amministratore oggetti Storage per il proprio bucket, avrà il controllo completo sugli oggetti nel bucket, inclusa la possibilità di caricare oggetti, elencare gli oggetti nel bucket e controllare chi può accedere a ciascun oggetto. Non consente loro di modificare o visualizzare metadati come i ruoli nel bucket nel suo complesso, né di elencare o visualizzare altri bucket nel progetto, tutelando così la privacy tra i fornitori.

Implementare questo scenario

Le tue azioni

Per implementare lo scenario, devi intraprendere le seguenti azioni:

  1. Assegna al gestore della ditta di costruzioni il ruolo Proprietario per il progetto, nonché il ruolo Visualizzatore oggetti Storage per il progetto. Per istruzioni dettagliate, consulta Concedere un singolo ruolo.

Azioni del responsabile di un'azienda di costruzione

Il gestore dell'azienda di costruzioni deve eseguire le seguenti azioni per implementare lo scenario:

  1. Crea un bucket separato per ogni fornitore. Per istruzioni passo passo, consulta Creazione di un bucket.

    Poiché il gestore lavori dispone del ruolo Proprietario, riceve il ruolo Proprietario bucket legacy di Storage per ogni bucket che crea.

  2. Assegnare a ciascun fornitore il ruolo Amministratore oggetti Storage per il rispettivo di sincronizzare la directory di una VM con un bucket. Per istruzioni dettagliate, consulta Aggiunta di un principale a un criterio a livello di bucket.

  3. Se un fornitore intende utilizzare la console Google Cloud, fornisci un link al suo bucket, che ha il seguente formato:

    https://console.cloud.google.com/storage/browser/BUCKET_NAME

    dove BUCKET_NAME è il nome del bucket del fornitore.

Azioni dei fornitori

Per implementare lo scenario, ogni fornitore deve eseguire le seguenti azioni:

  1. Caricare oggetti nel bucket assegnato. Il modo più semplice per raggiungere questo obiettivo è tramite la console Google Cloud. Altri metodi, come Google Cloud CLI, necessitano di una configurazione aggiuntiva prima dell'utilizzo. Per istruzioni passo passo, vedi Caricamento di un oggetto.

Download autenticati dal browser

In questo scenario, un cliente vuole rendere disponibili file specifici singoli utenti tramite semplici download da browser. Puoi eseguire questa operazione utilizzando Autenticazione basata su cookie di Cloud Storage. Per scaricare gli oggetti, gli utenti devono autenticarsi accedendo a un account valido, che include Google Workspace, Cloud Identity, Gmail e la federazione delle identità della forza lavoro. I seguenti utenti autenticati possono scaricare l'oggetto:

Tutti gli altri utenti ricevono un errore 403 Forbidden (access denied).

Per utilizzare la funzionalità, concedi a un utente l'autorizzazione per accedere a un oggetto, quindi fornisci all'utente un URL speciale per l'oggetto. Quando l'utente fa clic sull'URL, Cloud Storage gli chiede di accedere al proprio account (se non l'ha già fatto) e l'oggetto viene scaricato sul suo computer.

Implementare questo scenario

Puoi implementare l'autenticazione basata su cookie seguendo quattro passaggi generali:

  1. Crea un bucket. Per istruzioni passo passo, vedi Creazione di un bucket.

    Supponendo di creare un bucket in un progetto di tua proprietà, ottieni automaticamente autorizzazioni che ti consentono di caricare oggetti nel bucket e modificare ha accesso al bucket.

  2. Carica l'oggetto che vuoi condividere. Per istruzioni dettagliate, consulta Caricare un oggetto.

    Quando carichi un oggetto, ne diventi proprietario, ovvero puoi modificare gli ACL dell'oggetto.

  3. Concedi agli utenti l'accesso all'oggetto. Puoi farlo in due modi:

    1. Modificare il criterio IAM del bucket per concedere a ciascun utente desiderato la Visualizzatore oggetti Storage, che si applica a tutti gli oggetti nel ruolo di sincronizzare la directory di una VM con un bucket. Per istruzioni dettagliate, consulta Aggiunta di un principale a un criterio a livello di bucket.

    2. Modifica gli ACL dell'oggetto per assegnare a ogni utente desiderato l'autorizzazione READ il singolo oggetto. Per istruzioni passo passo, vedi Impostazione degli ACL.

  4. Fornisci agli utenti un URL speciale per l'oggetto.

    I download del browser autenticato accedono a Cloud Storage tramite un endpoint URL specifico. Utilizza il seguente URL:

    https://storage.cloud.google.com/BUCKET_NAME/OBJECT_NAME

    Dove:

    • BUCKET_NAME è il nome del bucket contiene l'oggetto desiderato. Ad esempio, my-bucket.
    • OBJECT_NAME è il nome dell'oggetto desiderato. Ad esempio, pets/dog.png.

    Poiché solo gli utenti con le autorizzazioni ACL o IAM appropriate possono visualizzarlo, non importa come rendi disponibile questo URL. Puoi inviarli direttamente o pubblicarli su una pagina web.

Utilizzare un gruppo per controllare l'accesso

In questo scenario, vuoi rendere disponibili oggetti a utenti specifici, come utenti invitati a provare un nuovo software. Inoltre, vuoi invitare molti ma non vuoi impostare le autorizzazioni per ogni singolo utente. Allo stesso tempo, non vuoi rendere gli oggetti leggibili pubblicamente e inviare ai clienti invitati i link per accedere agli oggetti, perché esiste il rischio che i link vengano inviati a utenti che non sono stati invitati.

Un modo per gestire questo scenario è utilizzare Google Gruppi. Puoi creare un gruppo e aggiungere solo gli utenti invitati. Poi può concedere all'intero gruppo l'accesso agli oggetti:

Ruolo Risorsa Entità Descrizione
Storage Object Viewer Il tuo bucket Gruppo Google Se assegni al gruppo Google il ruolo Visualizzatore oggetti Storage per il bucket, qualsiasi cliente che fa parte del gruppo Google può visualizzare gli oggetti al suo interno. Nessun utente esterno al gruppo ha accesso agli oggetti.

Implementa questo scenario

  1. Creare un gruppo Google a cui aggiungere clienti. Per istruzioni passo passo istruzioni, vedi Creare un gruppo.

  2. Creare un bucket. Per istruzioni dettagliate, consulta la pagina Creare un bucket.

  3. Caricare oggetti nel bucket. Per istruzioni dettagliate, consulta Caricare un oggetto.

  4. Concedi al gruppo Google l'accesso agli oggetti.

    • Puoi utilizzare il ruolo IAM storage.objectViewer per concedere l'accesso in visualizzazione a tutti gli oggetti nel bucket. Per istruzioni dettagliate, consulta Aggiunta di un principale a un criterio a livello di bucket.

    • Se vuoi concedere l'accesso solo ad alcuni degli oggetti nel bucket, imposta l'ACL Lettore su questi singoli oggetti. Per istruzioni dettagliate, consulta Impostare le ACL.

  5. Condividere l'endpoint della richiesta appropriato con il gruppo, in modo che sapere dove andare per accedere agli oggetti.

    Ad esempio, quando utilizzi la console Google Cloud, l'URL https://console.cloud.google.com/storage/browser/BUCKET_NAME porta all'elenco degli oggetti nel bucket BUCKET_NAME.

Utilizzare le cartelle gestite per controllare l'accesso

In questo scenario, hai più clienti che possiedono ciascuno un sito web unico contenenti immagini personalizzate. Vuoi che i clienti possano caricare immagini solo sul loro sito web, ma non su altri siti web. Quando un cliente annulla la propria vuoi disattivare l'accesso pubblico alle immagini sul loro sito web, evitare di eliminare le immagini nel caso in cui il cliente voglia riattivare la propria .

Un modo per gestire questo scenario è utilizzare le cartelle gestite. Puoi creare più cartelle gestite all'interno di un bucket e utilizzare IAM per controllare l'accesso alle singole cartelle gestite sia per sia per i clienti finali che per i loro utenti finali.

Implementare questo scenario

  1. Crea un bucket.

  2. Crea una cartella gestita nel bucket per ogni sito web del cliente.

  3. Per ogni cartella gestita, imposta un criterio IAM che assegni al cliente il ruolo Utente oggetto archiviazione (roles/storage.objectUser) in modo che possa caricare oggetti nella cartella gestita e rimuoverli dalla stessa.

  4. Per tutte le cartelle gestite, imposta un criterio IAM che assegni il ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer) al principale allUsers, in modo che gli oggetti immagine nelle cartelle gestite possano essere visualizzati dal pubblico.

    In alternativa, puoi concedere un ruolo personalizzato che assegni a allUsers l'autorizzazione IAM storage.objects.get.

  5. Quando un cliente cancella il proprio account, rimuovi il criterio IAM che concede al cliente il ruolo Utente oggetti Storage (roles/storage.objectUser) per cartella gestita associata. Per disabilitare l'accesso pubblico agli oggetti all'interno di cartella gestita, rimuovi il criterio IAM che concede il ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer) a allUsers.