Uso compartido y colaboración

En este documento, se presentan situaciones comunes de colaboración y uso compartido de datos. Se incluye cómo configurar las políticas de administración de identidades y accesos (IAM) del depósito y tu proyecto y las listas de control de acceso (LCA) de tu objeto para implementar las situaciones.

Almacena y mantén datos privados

En esta situación, una analista de mercado de una empresa quiere usar Cloud Storage para crear una copia de seguridad de las predicciones de ingresos y los datos de proyección de ventas confidenciales. Solo la analista de marketing debe poder acceder a los datos. El departamento de TI de la empresa supervisa y administra la cuenta de Cloud Storage de la empresa. Sus responsabilidades administrativas principales incluyen crear y compartir depósitos a fin de que varios departamentos de la empresa tengan acceso a Cloud Storage.

A fin de cumplir con las necesidades de confidencialidad y privacidad de la analista de mercado, los permisos del depósito y del objeto deben permitir al personal de TI mantener el depósito en el que se almacenan las hojas de cálculo. Sin embargo, también deben garantizar que el personal no pueda ver o descargar los datos almacenados en el depósito. Para lograrlo, crea un depósito llamado finance-marketing y otorga las siguientes funciones para los recursos enumerados a los miembros especificados:

Función Recurso Miembro Descripción
roles/storage.legacyBucketOwner El depósito finance-marketing Personal de TI Asignar al personal de TI la función roles/storage.legacyBucketOwner del depósito permite que realice tareas comunes de administración de depósitos, como borrar objetos y cambiar la política de IAM del depósito. También le permite enumerar los contenidos del depósito finance-marketing, pero no puede verlo o descargarlo.
roles/storage.objectCreator El depósito finance-marketing Analista de mercado Asignar a la analista de mercado la función roles/storage.objectCreator para el depósito le permite subir objetos en el depósito. Cuando lo hace, se vuelve propietaria del objeto subido y puede verlo, actualizarlo y borrarlo.

Con estas funciones, nadie puede ver o descargar los objetos que la analista de mercado agrega al depósito, a excepción de ella. Sin embargo, ella puede otorgar acceso a otros usuarios si cambia la LCA del objeto. El personal de TI aún puede enumerar los contenidos del depósito finance-marketing y borrar y reemplazar los archivos almacenados en el depósito si fuera necesario.

Implementa esta situación

Tus acciones

A fin de implementar la situación, debes realizar las acciones siguientes:

  1. Crear un depósito llamado finance-marketing. Para obtener instrucciones paso a paso, consulta la sección sobre cómo crear un depósito.

  2. Asignar a cada miembro del personal de TI la función roles/storage.legacyBucketOwner para el depósito. Para obtener instrucciones paso a paso, consulta Agrega un miembro a una política de nivel de depósito.

Acciones del personal de TI

A fin de implementar la situación, el personal de TI debería realizar las acciones siguientes:

  1. Otorgar roles/storage.objectCreatora la analista de mercado para el depósito. Para obtener instrucciones paso a paso, consulta Agrega un miembro a una política de nivel de depósito.

Buzón del proveedor

En esta situación, una empresa constructora trabaja con varias firmas de diseño arquitectónico a fin de entregar planos de construcción para varios proyectos. La empresa constructora quiere configurar un buzón para las firmas proveedoras a fin de que puedan subir los planos arquitectónicos en varios eventos importantes del proyecto. En el buzón, se debe garantizar la privacidad de los clientes de la empresa constructora, lo que significa que no se puede permitir que los proveedores vean los trabajos de otros. A fin de lograrlo, crea un depósito distinto para cada empresa de arquitectura y otorga las siguientes funciones para los recursos enumerados a los miembros especificados:

Función Recurso Miembro Descripción
roles/owner Proyecto general Administradora de la empresa constructora Otorgar a la administradora de la empresa constructora la función roles/owner a nivel de proyecto le permite crear depósitos para cada proveedor.
roles/storage.objectViewer Proyecto general Administradora de la empresa constructora roles/storage.objectViewer permite que la administradora de la empresa constructora descargue los objetos que suben los proveedores.
roles/storage.legacyBucketOwner Cada depósito del proveedor Administradora de la empresa constructora La función roles/storage.legacyBucketOwner permite que la administradora de la empresa constructora enumere los contenidos de cada depósito y borre los objetos cuando finaliza el evento importante de cada proyecto.
roles/storage.objectAdmin Cada depósito del proveedor El proveedor asociado al depósito Otorgar a cada proveedor la función roles/storage.objectAdmin de su propio depósito les brinda un control completo sobre los objetos de su depósito, incluida la capacidad de subir objetos, enumerar los objetos en el depósito y controlar quién tiene acceso a cada objeto. No les permite cambiar o ver los metadatos, como las funciones en el depósito, ni enumerar o ver otros depósitos en el proyecto, lo que mantiene la privacidad entre los proveedores.

Implementa esta situación

Tus acciones

A fin de implementar la situación, debes realizar las acciones siguientes:

  1. Otorgar a la administradora de la empresa constructora la función roles/owner y la función roles/storage.objectViewer para el proyecto. Para obtener instrucciones paso a paso, consulta Agrega un miembro a una política de nivel de proyecto.

Acciones de la administradora de la empresa constructora

A fin de implementar la situación, la administradora de la empresa constructora debería realizar las acciones siguientes:

  1. Crear un depósito diferente para cada proveedor. Para obtener instrucciones paso a paso, consulta la sección sobre cómo crear un depósito.

    Dado que la gerente de construcción tiene la función roles/owner, obtiene de forma automática la función roles/storage.legacyBucketOwner para cada depósito que crea.

  2. Proporcionar a cada proveedor la función roles/storage.objectAdmin para su respectivo depósito. Para obtener instrucciones paso a paso, consulta Agrega un miembro a una política de nivel de depósito.

  3. Si algún proveedor desea usar Google Cloud Platform Console, proporciónale un vínculo a su depósito, que tiene el siguiente formato:

    console.cloud.google.com/storage/browser/[BUCKET_NAME]

    en el que [BUCKET_NAME] es el nombre del depósito del proveedor.

Acciones del proveedor

A fin de implementar la situación, cada proveedor debería realizar las acciones siguientes:

  1. Subir objetos al depósito asignado. La forma más fácil de lograrlo es con Google Cloud Platform Console. Otros métodos, como la herramienta de línea de comandos de gsutil, requieren una configuración adicional previa. Para obtener instrucciones paso a paso, consulta Sube un objeto.

Descargas autenticadas del navegador

En esta situación, un cliente quiere que ciertos archivos estén disponibles para determinadas personas a través de las descargas del navegador. Puedes hacerlo con la autenticación basada en cookies de Cloud Storage. A fin de usar esta característica, debes otorgar a un usuario permiso para acceder a un objeto y después proporcionarle una URL especial al objeto. Cuando el usuario haga clic en la URL, Cloud Storage le solicitará que acceda a su Cuenta de Google (si aún no lo ha hecho) y el objeto se descarga a su computadora. Los siguientes usuarios podrán descargar el objeto:

Todos los demás usuarios reciben un error 403 Forbidden (access denied).

Implementa esta situación

Puedes implementar la autenticación basada en cookies con los cuatro pasos generales siguientes:

  1. Crea un depósito. Para obtener instrucciones paso a paso, consulta la sección sobre cómo crear un depósito.

    Si creas un depósito en un proyecto del que eres propietario, obtienes permisos de forma automática que te permiten subir objetos al depósito y cambiar quién puede acceder a este.

  2. Sube el objeto que deseas compartir. Para obtener instrucciones paso a paso, consulta Sube objetos.

    Cuando subes un objeto, te conviertes en su propietario. Esto significa que puedes modificar todas sus LCA.

  3. Permite que los usuarios accedan al objeto. Para esto, puedes usar uno de estos métodos:

    1. Modifica la política de IAM del depósito para otorgar a cada usuario deseado la función roles/storage.objectViewer, que se aplica a todos los objetos en el depósito. Para obtener instrucciones paso a paso, consulta Agrega un miembro a una política de nivel de depósito.

    2. Modifica las LCA del objeto a fin de otorgar a cada usuario deseado el permiso READ para cada objeto individual. Para obtener instrucciones paso a paso, consulta Establece las LCA.

  4. Proporciona a los usuarios una URL especial al objeto.

    Las descargas autenticadas del navegador acceden a Cloud Storage a través de un extremo de URL específico. Usa la siguiente URL y reemplaza [VALUES_IN_BRACKETS] por los valores apropiados:

    https://storage.cloud.google.com/[BUCKET_NAME]/[OBJECT_NAME]

    Ya que solo los usuarios con permisos de LCA o IAM apropiados pueden verla, no importa cómo establezcas la disponibilidad de esta URL. Puedes enviársela de forma directa o publicarla en una página web.

Usa un grupo para controlar el acceso

En esta situación, deseas que los objetos estén disponibles para usuarios específicos, como los usuarios invitados a probar un software nuevo. Además, quieres invitar muchos usuarios, pero no quieres configurar los permisos para cada uno de forma individual. A la vez, no quieres que los objetos sean legibles de forma pública ni enviar vínculos para que los clientes invitados accedan a los objetos, ya que existe el riesgo de que los vínculos se envíen a usuarios no invitados.

Una forma de resolver esta situación es con el uso de Grupos de Google. Puedes crear un grupo y agregar solo a los usuarios invitados. Luego, puedes otorgarle al grupo acceso total a los objetos:

Función Recurso Miembro Descripción
roles/storage.objectViewer Tu depósito incluido en la lista blanca Grupo de Google Si otorgas al Grupo de Google la función roles/storage.objectViewer del depósito, permites que cualquier cliente que forma parte del Grupo vea los objetos en el depósito. Nadie que esté fuera del grupo tiene acceso a los objetos.

Implementa esta situación

  1. Crea un Grupo de Google y agrega clientes. Para obtener instrucciones paso a paso, consulta Crear un grupo.

  2. Crea un depósito. Para obtener instrucciones paso a paso, consulta la sección sobre cómo crear un depósito.

  3. Sube objetos a tu depósito. Para obtener instrucciones paso a paso, consulta Sube objetos.

  4. Otorga al Grupo de Google acceso a los objetos.

    • Puedes usar la función de IAM storage.objectViewer para dar acceso de visualización a todos los objetos en tu depósito. Para obtener instrucciones paso a paso, consulta Agrega un miembro a una política de nivel de depósito.

    • Si solo quieres otorgar acceso a algunos de los objetos en el depósito, establece la LCA de Lector en esos objetos individuales. Para obtener instrucciones paso a paso, consulta Establece las LCA.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Si necesitas ayuda, visita nuestra página de asistencia.