Freigabe und Zusammenarbeit

In diesem Dokument werden typische Szenarien der Freigabe und Zusammenarbeit vorgestellt. Außerdem erfahren Sie, wie Sie Richtlinien für die Identitäts- und Zugriffsverwaltung (IAM) für Projekte und Buckets sowie Access Control Lists (ACLs) für Objekte konfigurieren, um die Szenarien zu implementieren.

Private Daten speichern und verwalten

In diesem Szenario möchte der Marketinganalyst eines Unternehmens Cloud Storage verwenden, um vertrauliche Umsatzprognosen und Verkaufsprojektionsdaten zu sichern. Die Daten dürfen nur für den Marketinganalysten zugänglich sein. Das Cloud Storage-Konto des Unternehmens wird von dessen IT-Abteilung überwacht und verwaltet. Zu den wichtigsten Verwaltungsaufgaben zählen das Erstellen und die Freigabe von Buckets, damit die verschiedenen Abteilungen des Unternehmens auf Cloud Storage zugreifen können.

Zur Erfüllung der Vertraulichkeits- und Datenschutzanforderungen des Marketinganalysten müssen die Bucket- und Objektberechtigungen so vergeben werden, dass die IT-Mitarbeiter den Bucket, der die Tabellen enthält, verwalten, aber nicht auf die dort gespeicherten Daten zugreifen und sie herunterladen können. Dafür erstellen Sie einen Bucket mit dem Namen finance-marketing und erteilen den angegebenen Mitgliedern die folgenden Rollen für die aufgelisteten Ressourcen:

Rolle Ressource Mitglied Beschreibung
roles/storage.legacyBucketOwner Bucket finance-marketing IT-Mitarbeiter Mit der Rolle roles/storage.legacyBucketOwner für den Bucket können die IT-Mitarbeiter allgemeine Aufgaben der Bucket-Verwaltung ausführen, wie Objekte löschen oder die IAM-Richtlinie des Buckets ändern. Außerdem können sie die Inhalte des Buckets finance-marketing auflisten, aber nicht ansehen oder herunterladen.
roles/storage.objectCreator Bucket finance-marketing Marketinganalyst Mit der Rolle roles/storage.objectCreator für den Bucket kann der Marketinganalyst Objekte in den Bucket hochladen. Auf diese Weise wird er zum Inhaber des hochgeladenen Objekts, das er dann ansehen, aktualisieren und löschen kann.

Mit diesen Rollen kann niemand außer dem Marketinganalysten die Objekte, die er dem Bucket hinzufügt, ansehen oder herunterladen. Der Marketinganalyst kann jedoch anderen Nutzern Zugriff gewähren, indem er die Objekt-ACLs ändert. Das IT-Personal kann weiterhin die Inhalte des Buckets finance-marketing auflisten sowie Dateien im Bucket bei Bedarf löschen und überschreiben.

Dieses Szenario implementieren

Ihre Aktionen:

So implementieren Sie das Szenario:

  1. Erstellen Sie einen Bucket mit dem Namen finance-marketing. Eine detaillierte Anleitung hierzu finden Sie unter Bucket erstellen.

  2. Weisen Sie jedem IT-Mitarbeiter die Rolle roles/storage.legacyBucketOwner für den Bucket zu. Eine detaillierte Anleitung hierzu finden Sie unter Mitglieder zu einer Richtlinie auf Bucket-Ebene hinzufügen.

Aktionen der IT-Mitarbeiter

So implementieren die IT-Mitarbeiter das Szenario:

  1. Weisen Sie dem Marketinganalysten die Rolle roles/storage.objectCreator für den Bucket zu. Eine detaillierte Anleitung hierzu finden Sie unter Mitglieder zu einer Richtlinie auf Bucket-Ebene hinzufügen.

Ablagebox für Anbieter

In diesem Szenario arbeitet ein Bauunternehmen mit mehreren Architekturbüros zusammen, die Baupläne für verschiedene Projekte erstellen. Das Bauunternehmen möchte für diese Anbieter eine Ablagebox einrichten, in die sie während der verschiedenen Projektphasen Baupläne hochladen können. Diese Ablagebox muss die Vertraulichkeit der Informationen für die Kunden des Bauunternehmens gewährleisten. Dies bedeutet, sie muss so konfiguriert sein, dass die einzelnen Anbieter die Arbeit der jeweils anderen nicht sehen können. Zu diesem Zweck erstellen Sie für jedes Architekturbüro einen eigenen Bucket und erteilen den angegebenen Mitgliedern die folgenden Rollen für die aufgelisteten Ressourcen:

Rolle Ressource Mitglied Beschreibung
roles/owner Gesamtprojekt Bauleiter Mit der Rolle roles/owner auf Projektebene kann der Bauleiter für jeden Anbieter Buckets erstellen.
roles/storage.objectViewer Gesamtprojekt Bauleiter Mit der Rolle roles/storage.objectViewer kann der Bauleiter die Objekte herunterladen, die von den Anbietern hochgeladen wurden.
roles/storage.legacyBucketOwner Alle Anbieter-Buckets Bauleiter Mit der Rolle roles/storage.legacyBucketOwner kann der Bauleiter die Inhalte aller Buckets auflisten sowie am Ende jeder Projektphase Objekte löschen.
roles/storage.objectAdmin Alle Anbieter-Buckets Mit dem Bucket verknüpfte Anbieter Alle Anbieter erhalten die Rolle roles/storage.objectAdmin jeweils für den eigenen Bucket und somit vollständige Kontrolle über die in dem jeweiligen Bucket enthaltenen Objekte, einschließlich der Möglichkeit, Objekte hochzuladen, aufzulisten und den Zugriff auf jedes Objekt zu steuern. Mit dieser Rolle können sie jedoch keine Metadaten auf Bucket-Ebene, wie zum Beispiel Rollen, ändern oder ansehen sowie keine anderen Buckets im Projekt ansehen oder auflisten, wodurch die Vertraulichkeit der Daten zwischen den Anbietern gewährleistet ist.

Dieses Szenario implementieren

Ihre Aktionen:

So implementieren Sie das Szenario:

  1. Weisen Sie dem Bauleiter die Rollen roles/owner und roles/storage.objectViewer für das Projekt zu. Eine detaillierte Anleitung finden Sie unter Mitglieder zu einer Richtlinie auf Projektebene hinzufügen.

Aktionen des Bauleiters

So implementiert der Bauleiter das Szenario:

  1. Er erstellt einen separaten Bucket für jeden Anbieter. Eine detaillierte Anleitung hierzu finden Sie unter Bucket erstellen.

    Da der Bauleiter die Rolle roles/owner hat, erhält er automatisch auch die Rolle roles/storage.legacyBucketOwner für jeden neu erstellten Bucket.

  2. Weisen Sie jedem Anbieter die Rolle roles/storage.objectAdmin für dessen jeweiligen Bucket zu. Eine detaillierte Anleitung hierzu finden Sie unter Mitglieder zu einer Richtlinie auf Bucket-Ebene hinzufügen.

  3. Wenn ein Anbieter die Google Cloud Platform Console nutzen möchte, weisen Sie ihm einen Link zu seinem Bucket im folgenden Format zu:

    console.cloud.google.com/storage/browser/[BUCKET_NAME]

    Dabei ist [BUCKET_NAME] der Name des Anbieter-Buckets.

Aktionen der Anbieter

So implementieren die Anbieter das Szenario:

  1. Laden Sie Objekte in den zugewiesenen Bucket hoch. Am einfachsten funktioniert dies über die Google Cloud Platform Console. Bei anderen Methoden wie über das gsutil-Befehlszeilentool sind vor Verwendung erst zusätzliche Einrichtungsarbeiten erforderlich. Eine detaillierte Anleitung finden Sie unter Objekt hochladen.

Authentifizierte Browserdownloads

In diesem Szenario möchte ein Kunde, dass bestimmte Personen bestimmte Daten einfach über den Browser herunterladen können. Dies können Sie mit der cookiebasierten Authentifizierung von Cloud Storage erreichen. Um diese Funktion zu nutzen, gewähren Sie einem Nutzer die Berechtigung zum Zugriff auf ein Objekt und geben ihm dann eine spezielle URL, die zu diesem Objekt führt. Wenn der Nutzer diese URL anklickt, wird er von Cloud Storage aufgefordert, sich bei seinem Google-Konto anzumelden, sofern er nicht bereits angemeldet ist. Anschließend wird das Objekt auf seinen Computer heruntergeladen. Folgende Nutzer können das Objekt herunterladen:

Alle anderen Nutzer erhalten die Fehlermeldung 403 Forbidden (access denied).

Dieses Szenario implementieren

Die cookiebasierte Authentifizierung wird allgemein in vier Schritten implementiert:

  1. Erstellen Sie einen Bucket. Eine detaillierte Anleitung hierzu finden Sie unter Bucket erstellen.

    Wenn Sie einen Bucket in einem Projekt erstellen, dessen Inhaber Sie sind, erhalten Sie automatisch die Berechtigungen, Objekte in den Bucket hochzuladen und die Zugriffsberechtigungen für den Bucket zu ändern.

  2. Laden Sie das Objekt hoch, das Sie freigeben möchten. Eine detaillierte Anleitung finden Sie unter Objekt hochladen.

    Wenn Sie ein Objekt hochladen, sind Sie der Inhaber des Objekts, was bedeutet, dass Sie die ACLs des Objekts ändern können.

  3. Gewähren Sie Nutzern Zugriff auf das Objekt. Dafür stehen Ihnen zwei Möglichkeiten zur Verfügung:

    1. Ändern Sie die IAM-Richtlinie des Buckets so, dass alle gewünschten Nutzer die Rolle roles/storage.objectViewer erhalten, die für alle Objekte im Bucket gilt. Eine detaillierte Anleitung hierzu finden Sie unter Mitglieder zu einer Richtlinie auf Bucket-Ebene hinzufügen.

    2. Ändern Sie die ACLs des Objekts so, dass alle gewünschten Nutzer die Berechtigung READ für das einzelne Objekt erhalten. Eine detaillierte Anleitung finden Sie unter ACLs festlegen.

  4. Stellen Sie Nutzern eine spezielle URL zum Objekt zur Verfügung.

    Authentifizierte Browserdownloads erhalten über einen bestimmten URL-Endpunkt Zugriff auf Cloud Storage. Verwenden Sie die folgende URL und ersetzen Sie [VALUES_IN_BRACKETS] durch die entsprechenden Werte:

    https://storage.cloud.google.com/[BUCKET_NAME]/[OBJECT_NAME]

    Da nur Nutzer mit entsprechenden ACL- oder IAM-Berechtigungen das Bild ansehen können, spielt es keine Rolle, wie Sie diese URL zur Verfügung stellen. Sie können die URL direkt versenden oder auf einer Website veröffentlichen.

Eine Gruppe für die Zugriffssteuerung verwenden

In diesem Szenario möchten Sie bestimmten Nutzern Objekte zur Verfügung stellen, zum Beispiel um sie einzuladen, eine neue Software auszuprobieren. Sie möchten außerdem viele Nutzer einladen, ohne die Berechtigung für jeden Nutzer einzeln festlegen zu müssen. Gleichzeitig sollen die Objekte nicht öffentlich lesbar sein und Sie möchten den eingeladenen Nutzern keine Links zu den Objekten senden, weil die Gefahr besteht, dass die Links auch an nicht eingeladene Nutzer versendet werden könnten.

Eine Möglichkeit, dieses Szenario umzusetzen, besteht in der Verwendung von Google Groups. Sie können eine Gruppe erstellen und nur eingeladene Nutzer in diese Gruppe aufnehmen. Anschließend können Sie der gesamten Gruppe Zugriff auf die Objekte gewähren.

Rolle Ressource Mitglied Beschreibung
roles/storage.objectViewer Bucket auf der weißen Liste Google-Gruppe Wenn Sie der Google-Gruppe die Rolle roles/storage.objectViewer für den Bucket zuweisen, können alle Mitglieder der Gruppe Objekte im Bucket ansehen. Niemand außerhalb der Gruppe hat Zugriff auf die Objekte.

Dieses Szenario implementieren

  1. Erstellen Sie eine Google-Gruppe und fügen Sie ihr Mitglieder hinzu. Eine detaillierte Anleitung finden Sie unter Gruppe erstellen.

  2. Erstellen Sie einen Bucket. Eine detaillierte Anleitung hierzu finden Sie unter Bucket erstellen.

  3. Laden Sie Objekte in den Bucket hoch. Eine detaillierte Anleitung finden Sie unter Objekt hochladen.

  4. Gewähren Sie der Google-Gruppe Zugriff auf die Objekte.

    • Sie können die IAM-Rolle storage.objectViewer verwenden, um Lesezugriff auf alle Objekte im Bucket zu gewähren. Eine detaillierte Anleitung hierzu finden Sie unter Mitglieder zu einer Richtlinie auf Bucket-Ebene hinzufügen.

    • Wenn Sie den Zugriff auf einzelne Objekte im Bucket beschränken möchten, legen Sie für diese in der ACL Reader (Lesen) fest. Eine detaillierte Anleitung finden Sie unter ACLs festlegen.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...