Dokumen ini berisi skenario seputar aktivitas berbagi data dan kolaborasi secara umum. Dokumen ini juga berisi penjelasan tentang cara mengonfigurasi kebijakan Identity and Access Management (IAM) untuk project dan bucket serta Daftar Kontrol Akses (ACL) objek untuk mengimplementasikan skenario.
Penyimpanan dan pemeliharaan data pribadi
Dalam skenario ini, seorang analis pemasaran di suatu perusahaan ingin menggunakan Cloud Storage untuk mencadangkan perkiraan pendapatan dan data proyeksi penjualan yang bersifat rahasia. Data ini hanya boleh diakses oleh analis pemasaran. Departemen IT perusahaan bertugas mengawasi dan mengelola akun Cloud Storage perusahaan. Tanggung jawab pengelolaan utama mereka termasuk membuat dan membagikan bucket sehingga berbagai departemen di seluruh perusahaan memiliki akses ke Cloud Storage.
Untuk memenuhi kebutuhan kerahasiaan dan privasi analis pemasaran,
izin bucket dan objek harus memungkinkan staf IT untuk mengelola bucket
tempat spreadsheet disimpan, tetapi juga memastikan agar staf IT
tidak dapat melihat atau mendownload data yang disimpan dalam bucket. Untuk melakukannya,
buat bucket bernama finance-marketing dan berikan
peran berikut untuk resource yang tercantum kepada akun utama yang ditentukan:
| Peran | Resource | Akun utama | Deskripsi |
|---|---|---|---|
| Storage Legacy Bucket Owner | Bucket finance-marketing |
Staf IT | Memberi staf IT peran Storage Legacy Bucket Owner untuk bucket memungkinkan mereka untuk melakukan tugas pengelolaan bucket umum, seperti menghapus objek dan mengubah kebijakan IAM pada bucket. Dengan begitu, staf IT dapat mencantumkan konten bucket finance-marketing, tetapi tidak dapat melihat atau mendownload konten tersebut. |
| Storage Object Creator | Bucket finance-marketing |
Analis pemasaran | Memberi analis pemasaran peran Storage Object Creator untuk bucket memungkinkan dia mengupload objek ke bucket. Saat melakukannya, dia akan menjadi pemilik objek yang diupload, sehingga dapat melihat, mengupdate, dan menghapusnya. |
Dengan peran ini, tidak ada seorang pun, kecuali analis pemasaran, yang dapat melihat/mendownload
objek yang ditambahkan ke bucket. Namun, dia dapat memberikan akses kepada
pengguna lain dengan mengubah ACL objek. Staf IT tetap dapat
mencantumkan konten bucket finance-marketing, serta dapat menghapus dan
mengganti file yang disimpan di bucket jika diperlukan.
Menerapkan skenario ini
Tindakan Anda
Anda harus melakukan tindakan berikut untuk menerapkan skenario ini:
Buat bucket bernama
finance-marketing. Untuk mengetahui petunjuk langkah demi langkah, lihat Membuat bucket.Beri setiap anggota staf IT peran Storage Legacy Bucket Owner untuk bucket. Untuk mengetahui petunjuk langkah demi langkah, lihat Menambahkan akun utama ke kebijakan level bucket.
Tindakan staf IT
Staf IT harus melakukan tindakan berikut untuk menerapkan skenario ini:
- Beri analis pemasaran peran Storage Object Creator untuk bucket. Untuk mengetahui petunjuk langkah demi langkah, lihat Menambahkan akun utama ke kebijakan level bucket.
Drop box vendor
Dalam skenario ini, perusahaan konstruksi bekerja sama dengan beberapa perusahaan desain arsitektur yang membuat rancangan pembangunan untuk berbagai project. Perusahaan konstruksi ingin membuat drop box bagi perusahaan vendor agar mereka dapat mengupload rancangan arsitektur pada berbagai tonggak pencapaian project. Drop box-nya harus memastikan privasi klien perusahaan konstruksi, yang artinya drop box tidak boleh mengizinkan vendor untuk melihat hasil kerja satu sama lain. Untuk melakukan hal ini, buat bucket terpisah untuk tiap-tiap perusahaan arsitektur dan berikan peran berikut untuk resource yang tercantum kepada akun utama yang ditentukan:
| Peran | Resource | Akun utama | Deskripsi |
|---|---|---|---|
| Owner | Keseluruhan project | Manajer perusahaan konstruksi | Memberikan peran Owner pada level project kepada manajer perusahaan konstruksi memungkinkannya membuat bucket untuk setiap vendor. |
| Storage Object Viewer | Keseluruhan project | Manajer perusahaan konstruksi | Peran Storage Object Viewer memungkinkan manajer perusahaan konstruksi untuk mendownload objek yang diupload oleh vendor. |
| Storage Legacy Bucket Owner | Setiap bucket vendor | Manajer perusahaan konstruksi | Peran Storage Legacy Bucket Owner memungkinkan manajer perusahaan konstruksi untuk mencantumkan konten setiap bucket serta menghapus objek pada akhir setiap pencapaian project. |
| Storage Object Admin | Setiap bucket vendor | Vendor yang terkait dengan bucket | Memberikan peran Storage Object Admin kepada setiap vendor untuk bucket-nya masing-masing memberi mereka kontrol penuh atas objek di bucket, termasuk kemampuan untuk mengupload objek, mencantumkan objek di bucket, dan mengontrol siapa saja yang memiliki akses ke setiap objek. Peran tersebut tidak mengizinkan mereka mengubah atau melihat metadata, seperti peran di bucket secara keseluruhan, serta tidak mengizinkan mereka untuk mencantumkan atau melihat bucket lain di dalam project. Dengan begitu, privasi setiap vendor tersebut dapat tetap terjaga. |
Menerapkan skenario ini
Tindakan Anda
Anda harus melakukan tindakan berikut untuk menerapkan skenario ini:
- Berikan peran Owner dan Storage Object Viewer pada project kepada manajer perusahaan konstruksi. Untuk mengetahui petunjuk langkah demi langkah, lihat Memberikan peran tunggal.
Tindakan manajer perusahaan konstruksi
Manajer perusahaan konstruksi harus melakukan tindakan berikut untuk menerapkan skenario ini:
Buat bucket terpisah untuk tiap-tiap vendor. Untuk mengetahui petunjuk langkah demi langkah, lihat Membuat bucket.
Karena memiliki peran Owner, manajer konstruksi otomatis mendapatkan peran Storage Legacy Bucket Owner untuk setiap bucket yang dia buat.
Berikan peran Storage Object Admin untuk bucket kepada setiap vendor. Untuk mengetahui petunjuk langkah demi langkah, lihat Menambahkan akun utama ke kebijakan level bucket.
Jika ada vendor yang ingin menggunakan Konsol Google Cloud, beri mereka link ke bucket, menggunakan format berikut:
https://console.cloud.google.com/storage/browser/BUCKET_NAMEdengan
BUCKET_NAMEadalah nama bucket vendor.
Tindakan vendor
Setiap vendor harus melakukan tindakan berikut untuk menerapkan skenario ini:
Upload objek ke bucket yang ditetapkan. Cara termudah untuk melakukannya adalah melalui Konsol Google Cloud. Metode lainnya, seperti Google Cloud CLI, memerlukan penyiapan terlebih dahulu agar dapat digunakan. Untuk mengetahui petunjuk langkah demi langkah, lihat Mengupload objek.
Download browser terautentikasi
Dalam skenario ini, klien ingin memberikan file tertentu kepada orang-orang tertentu melalui download browser sederhana. Anda dapat melakukannya menggunakan autentikasi berbasis cookie dari Cloud Storage. Untuk mendownload objek, pengguna harus melakukan autentikasi dengan login ke akun yang valid, yang mencakup Google Workspace, Cloud Identity, Gmail, dan federasi identitas tenaga kerja. Pengguna terautentikasi berikut dapat mendownload objek tersebut:
Pengguna yang memiliki izin
READatauFULL_CONTROLdi daftar kontrol akses (ACL) objek tersebut.Pengguna yang memiliki izin
storage.objects.getdi kebijakan Identity and Access Management (IAM) untuk bucket atau project yang menampung objek.
Semua pengguna lain selain yang disebutkan di atas akan menerima error 403 Forbidden (access denied).
Untuk menggunakan fitur ini, berikan izin akses objek kepada pengguna, lalu berikan URL khusus ke objek tersebut. Saat pengguna mengklik URL, Cloud Storage akan meminta mereka untuk login ke akun (jika belum login) dan objek akan didownload ke komputer mereka.
Menerapkan skenario ini
Anda dapat menerapkan autentikasi berbasis cookie dengan empat langkah umum:
Buat bucket. Untuk mengetahui petunjuk langkah demi langkah, lihat Membuat bucket.
Dengan asumsi bahwa Anda membuat bucket dalam project milik sendiri, Anda otomatis mendapatkan izin untuk mengupload objek ke bucket dan mengubah siapa saja yang dapat mengakses bucket.
Upload objek yang ingin dibagikan. Untuk mengetahui petunjuk langkah demi langkah, lihat Mengupload objek.
Saat mengupload objek, Anda menjadi pemilik objek tersebut. Artinya, Anda dapat mengubah ACL objek.
Beri pengguna akses ke objek. Anda dapat melakukannya dengan salah satu dari dua cara berikut:
Ubah kebijakan IAM di bucket untuk memberi peran Storage Object Viewer kepada setiap pengguna yang diinginkan. Perubahan ini akan diterapkan untuk semua objek di bucket. Untuk mengetahui petunjuk langkah demi langkah, lihat Menambahkan akun utama ke kebijakan level bucket.
Ubah ACL objek untuk memberikan izin
READkepada setiap pengguna yang diinginkan pada tiap-tiap objek. Untuk mengetahui petunjuk langkah demi langkah, lihat Menetapkan ACL.
Berikan URL khusus ke objek kepada pengguna.
Download browser terautentikasi mengakses Cloud Storage melalui endpoint URL tertentu. Gunakan URL berikut:
https://storage.cloud.google.com/BUCKET_NAME/OBJECT_NAMEDengan keterangan:
BUCKET_NAMEadalah nama bucket yang menampung objek yang diinginkan. Contoh,my-bucket.OBJECT_NAMEadalah nama objek yang diinginkan. Contoh,pets/dog.png.
Anda dapat memberikan URL ini dengan berbagai cara, karena hanya pengguna dengan izin ACL atau IAM yang sesuai yang dapat melihatnya. Anda dapat mengirimkannya secara langsung atau mempostingnya di halaman web.
Menggunakan grup untuk mengontrol akses
Dalam skenario ini, Anda ingin memberikan objek kepada pengguna tertentu, misalnya kepada pengguna yang diundang untuk mencoba software baru. Selain itu, Anda ingin mengundang banyak pengguna, tetapi Anda tidak ingin menetapkan izin untuk setiap pengguna satu per satu. Pada saat yang sama, Anda tidak ingin membuat objek tersebut dapat dibaca oleh publik dan tidak ingin mengirim link kepada pengguna yang diundang untuk mengakses objek, karena ada risiko link dapat dikirim kepada pengguna yang tidak diundang.
Salah satu cara untuk menangani skenario ini adalah melalui penggunaan Google Grup. Anda dapat membuat grup dan hanya menambahkan pengguna yang diundang saja ke grup tersebut. Kemudian, Anda dapat memberi grup tersebut akses menyeluruh ke objek:
| Peran | Resource | Akun utama | Deskripsi |
|---|---|---|---|
| Storage Object Viewer | Bucket Anda | Grup Google | Memberikan peran Storage Object Viewer untuk bucket kepada Grup Google memungkinkan setiap pelanggan yang menjadi anggota Grup Google tersebut untuk melihat objek di dalam bucket. Orang di luar grup tidak akan memiliki akses ke objek. |
Menerapkan skenario ini
Buat grup Google dan tambahkan pelanggan ke dalamnya. Untuk mengetahui petunjuk langkah demi langkah, lihat Membuat grup.
Buat bucket. Untuk mengetahui petunjuk langkah demi langkah, lihat Membuat bucket.
Upload objek ke bucket. Untuk mengetahui petunjuk langkah demi langkah, lihat Mengupload objek.
Berikan akses grup Google ke objek tersebut.
Anda dapat menggunakan peran IAM storage.objectViewer untuk memberikan akses lihat ke semua objek dalam bucket. Untuk mengetahui petunjuk langkah demi langkah, lihat Menambahkan akun utama ke kebijakan level bucket.
Jika Anda hanya ingin memberikan akses ke beberapa objek di bucket, tetapkan ACL Reader di tiap-tiap objek tersebut. Untuk mengetahui petunjuk langkah demi langkah, lihat Menetapkan ACL.
Bagikan endpoint permintaan yang sesuai dengan grup, agar mereka tahu tempat untuk mengakses objek tersebut
Misalnya, saat menggunakan Konsol Google Cloud, URL
https://console.cloud.google.com/storage/browser/BUCKET_NAMEakan mengarahkan Anda ke daftar objek di bucketBUCKET_NAME.
Menggunakan folder terkelola untuk mengontrol akses
Dalam skenario ini, Anda memiliki beberapa pelanggan yang masing-masing memiliki situs unik yang berisi gambar kustom. Anda ingin pelanggan dapat mengupload gambar hanya ke situs mereka, tetapi tidak ke situs lain. Saat pelanggan membatalkan akun, Anda dapat menonaktifkan akses publik ke gambar di situs mereka. Namun, hindari menghapus gambar tersebut jika pelanggan ingin mengaktifkan kembali akun mereka.
Salah satu cara untuk menangani skenario ini adalah melalui penggunaan folder terkelola. Anda dapat membuat beberapa folder terkelola dalam bucket dan menggunakan IAM untuk mengontrol akses ke setiap folder terkelola bagi pelanggan dan pengguna akhir mereka.
Menerapkan skenario ini
Buat folder terkelola di bucket untuk setiap situs pelanggan.
Untuk setiap folder terkelola, tetapkan kebijakan IAM yang memberikan peran Storage Object User (
roles/storage.objectUser) kepada pelanggan, sehingga pelanggan dapat mengupload objek ke folder terkelola dan menghapus objek dari folder terkelola.Untuk semua folder terkelola, tetapkan kebijakan IAM yang memberikan peran Storage Object Viewer (
roles/storage.objectViewer) keallUsersutama, sehingga objek gambar dalam folder terkelola dapat dilihat oleh publik.Atau, Anda dapat memberikan peran khusus yang memberi
allUsersizin IAMstorage.objects.get.Saat pelanggan membatalkan akunnya, hapus kebijakan IAM yang memberikan peran Storage Object User (
roles/storage.objectUser) kepada pelanggan untuk folder terkelola yang terkait. Untuk menonaktifkan akses publik ke objek dalam folder terkelola tersebut, hapus kebijakan IAM yang memberikan peran Storage Object Viewer (roles/storage.objectViewer) keallUsers.