共用與協作

這份文件說明了常見的資料共用及協作情境,包含如何設定您的專案及值區身分與存取權管理 (IAM) 政策和您的物件存取控制清單 (ACL),以便在各種情境中進行實作。

儲存與維護私人資料

在這個情境中,一間公司的行銷分析師想要使用 Cloud Storage 備份收益預測與銷售預測等機密資料,並且要確保只有行銷分析師能存取這些資料。公司的 IT 部門負責監督與管理公司的 Cloud Storage 帳戶,他們的主要管理職責包含建立及共用值區,以便讓全公司各個部門都能存取 Cloud Storage。

如要滿足行銷分析師對機密性及隱私權的需求,您所設定的值區與物件權限必須讓 IT 人員能夠維護儲存試算表的值區,但無法檢視/下載儲存於值區中的資料。如要達到這個目標,請建立名為 finance-marketing 的值區,並將下列「資源」的角色指派給指定的「成員」

角色 資源 成員 說明
roles/storage.legacyBucketOwner finance-marketing 值區 IT 人員 將值區的 roles/storage.legacyBucketOwner 角色指派給 IT 人員,讓他們可以執行一般的值區管理工作,例如刪除物件與變更值區的 IAM 政策。IT 人員也可透過這項權限列出 finance-marketing 值區的內容,但是無法檢視或下載任何內容。
roles/storage.objectCreator finance-marketing 值區 行銷分析師 roles/storage.objectCreator 角色指派給行銷分析師,允許她將物件下載至值區,這樣一來她就會成為下載物件的擁有者,因而能夠檢視、更新及刪除該物件。

指派上述角色後,就能確保只有行銷分析師能夠檢視/下載她新增至值區的物件。不過,她也可以透過變更物件的 ACL,將存取權授予其他使用者,讓 IT 人員不但能夠列出 finance-marketing 值區的內容,還能在有需要時刪除與覆寫儲存於值區中的檔案。

在這種情境下的實作方法

你應採取的行動

請採取下列行動,以便在這種情境下進行實作:

  1. 建立名為 finance-marketing 的值區。如需逐步操作說明,請參閱建立值區

  2. 為每位 IT 人員指派值區的 roles/storage.legacyBucketOwner 角色。如需逐步操作說明,請參閱新增成員至值區層級政策

IT 人員應採取的行動

IT 人員應採取下列行動,以便在這種情境下進行實作:

  1. 將值區的 roles/storage.objectCreator 角色指派給行銷分析師。如需逐步操作說明,請參閱新增成員至值區層級政策

廠商集放箱

在這個情境中,一間建設公司與執行多項建築專案計劃的多間建築設計事務所共事。建設公司想要為廠商設立一個集放箱,讓他們針對不同的專案里程碑上傳建築計劃。集放箱必須確保建設公司客戶的隱私權受到保護;換句話說,集放箱不能讓廠商檢視彼此的工作內容。如要達到這個目標,請為各間建築設計事務所分別建立不同值區,並將下列「資源」的角色指派給指定的「成員」

角色 資源 成員 說明
roles/owner 整體專案 建設公司經理 將專案層級的 roles/owner 角色指派給建設公司的經理,讓她為每間廠商建立值區。
roles/storage.objectViewer 整體專案 建設公司經理 roles/storage.objectViewer 角色讓建設公司經理能夠下載廠商上傳的物件。
roles/storage.legacyBucketOwner 各廠商值區 建設公司經理 roles/storage.legacyBucketOwner 角色讓建設公司經理能夠列出所有值區的內容,並在各個專案里程碑達成後刪除物件。
roles/storage.objectAdmin 各廠商值區 與值區相關的廠商 為廠商指派他們自己值區中的 roles/storage.objectAdmin 角色後,就能讓他們完全掌控值區內的物件,包括上傳物件、列出值區裡的物件,以及控管可存取每個物件的使用者。這項權限無法讓廠商變更或檢視整體值區的角色等中繼資料,也無法讓他們列出或檢視專案中其他值區,因此可以保障各間廠商的隱私權。

在這種情境下的實作方法

你應採取的行動

請採取下列行動,以便在這種情境下進行實作:

  1. 將專案的 roles/owner 角色和 roles/storage.objectViewer 角色指派給建設公司經理。如需逐步操作說明,請參閱新增成員至專案層級政策

建設公司經理應採取的行動

建設公司經理應採取下列行動,以便在這種情境下進行實作:

  1. 為各間廠商分別建立不同值區。如需逐步操作說明,請參閱建立值區

    因為建設公司經理具備 roles/owner 角色,所以針對她所建立的每個值區,她都會自動取得 roles/storage.legacyBucketOwner 角色。

  2. 為廠商指派他們自己值區中的 roles/storage.objectAdmin 角色。如需逐步操作說明,請參閱新增成員至值區層級政策

  3. 如有任何廠商想要使用 Google Cloud Platform 主控台,只要將他們自己值區的連結提供給他們即可,格式如下:

    console.cloud.google.com/storage/browser/[BUCKET_NAME]

    [BUCKET_NAME] 為該廠商值區的名稱。

廠商應採取的行動

每間廠商皆須採取下列行動,以便在這種情境下進行實作:

  1. 將物件上傳至指派給他們的值區;最簡單的做法是直接透過 Google Cloud Platform 主控台執行,如要使用 gsutil 指令列工具等其他方法,則必須先進行其他設定。如需逐步操作說明,請參閱上傳物件

已驗證的瀏覽器下載作業

在這個情境中,一位客戶想讓特定使用者透過簡單的瀏覽器下載作業取得某些檔案。您可以使用 Cloud Storage Cookie 型驗證達成這個目標。如要使用這項功能,請先將物件的存取權授予使用者,然後將用於存取物件的特殊網址交給他們。如果使用者在尚未登入自己 Google 帳戶的情況下點選這個網址,Cloud Storage 會顯示提示,要求他們登入,之後他們就能將物件下載至自己的電腦。滿足下列條件的使用者才能下載物件:

其他所有使用者都會看到 403 Forbidden (access denied) 錯誤訊息。

在這種情境下的實作方法

您可以透過下列四個一般步驟實作 Cookie 型驗證:

  1. 建立值區。 如需逐步操作說明,請參閱建立值區

    假如您在自己擁有的專案中建立了值區,您會自動取得相關權限,讓您能夠將物件上傳至該值區,以及變更擁有該值區存取權的使用者。

  2. 上傳您想要共用的物件。 如需逐步操作說明,請參閱上傳物件

    上傳物件後,您會成為該物件的擁有者;換句話說,您可以修改該物件的 ACL。

  3. 將物件存取權授予使用者。 您可以選擇使用以下其中一種方法:

    1. 修改值區的 IAM 政策,將 roles/storage.objectViewer 角色指派給每位目標使用者;這項變更會套用至值區中所有物件。如需逐步操作說明,請參閱新增成員至值區層級政策

    2. 修改物件的 ACL,將個別物件的 READ 權限授予每位目標使用者。如需逐步操作說明,請參閱設定 ACL

  4. 將用於存取物件的特殊網址提供給使用者。

    已驗證的瀏覽器下載作業會透過特定網址端點存取 Cloud Storage。請使用下列網址,並將 [VALUES_IN_BRACKETS] 替換為適當的值:

    https://storage.cloud.google.com/[BUCKET_NAME]/[OBJECT_NAME]

    只有具備適當 ACL 或 IAM 權限的使用者可以檢視這個網址,所以您用哪種方式提供網址都沒有關係;您可以將網址直接傳送給使用者,或是張貼在網頁上。

使用群組控制存取權

在這個情境中,您想要將物件提供給特定使用者,例如受邀試用新軟體的使用者。此外,雖然您想邀請許多使用者,但不想一一為每位使用者設定權限,也不想將物件設為可公開讀取,再將物件存取連結傳送給受邀客戶,因為對方有可能會將這些連結傳送給其他未受邀的使用者。

在這個情境中,您可以採取的其中一種做法是使用 Google 網上論壇。只要先建立群組,僅將受邀使用者加入群組,然後將物件的完整存取權授予該群組即可:

角色 資源 成員 說明
roles/storage.objectViewer 您「已加入許可清單」的值區 Google 網上論壇 將值區的 roles/storage.objectViewer 角色指派給 Google 群組後,屬於該 Google 群組成員的客戶就能檢視值區內的物件。非該群組成員的使用者均無法存取這些物件。

在這種情境下的實作方法

  1. 建立一個 Google 群組,然後將客戶加入其中。如需逐步操作說明,請參閱建立群組

  2. 建立值區。如需逐步操作說明,請參閱建立值區

  3. 將物件上傳至值區。如需逐步操作說明,請參閱上傳物件

  4. 將物件存取權授予該 Google 群組。

    • 您可以使用 IAM 角色 storage.objectViewer 將值區中所有物件的檢視權限授予群組。如需逐步操作說明,請參閱新增成員至值區層級政策

    • 如果您只想將值區中部分物件的存取權授予群組,請針對這些個別物件設定「讀取者」ACL。如需逐步操作說明,請參閱設定 ACL

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Storage
需要協助嗎?請前往我們的支援網頁