Dossiers gérés

Cette page présente les dossiers gérés de Cloud Storage, qui existent en tant que ressource et sont différents des dossiers simulés.

Vous pouvez appliquer des stratégies IAM (Identity and Access Management) aux dossiers gérés pour limiter l'accès des comptes principaux aux objets du dossier géré, ce qui vous permet de contrôler plus précisément l'accès à des ensembles de données et des tables spécifiques dans un bucket. Vous pouvez imbriquer jusqu'à 15 niveaux de dossier géré, en incluant le dossier géré parent.

Les dossiers gérés ne peuvent être créés que dans des buckets pour lesquels l'accès uniforme au niveau du bucket est activé.

IAM pour les dossiers gérés

Lorsque vous appliquez une stratégie IAM sur un dossier géré, l'accès accordé dans la stratégie s'applique également à tout objet de ce bucket dont le préfixe est le nom du dossier géré. Par exemple, si vous accordez à un compte principal le rôle de Lecteur des objets de l'espace de stockage (roles/storage.objectViewer) sur un dossier géré nommé example-bucket/example-managed-folder/, le compte principal peut afficher n'importe quel objet dans example-managed-folder (par exemple, example-bucket/example-managed-folder/example-object.txt). Lorsque vous imbriquez des dossiers gérés, les autorisations accordées via les stratégies IAM sont appliquées de manière additive.

Consultez les pages suivantes pour en savoir plus sur les dossiers gérés :

Noms de dossiers gérés

Le nom que vous donnez à un dossier géré doit répondre aux exigences suivantes :

  • Les noms de dossiers gérés peuvent contenir n'importe quelle séquence de caractères Unicode valides, d'une longueur comprise entre 1 et 700 octets pour l'encodage UTF-8.

  • Les noms de dossiers gérés ne peuvent pas contenir de caractères de retour chariot ni de saut de ligne.

  • Les noms de dossiers gérés doivent se terminer par /. Au maximum, un nom de dossier géré peut comporter 15 /s. En d'autres termes, vous pouvez imbriquer jusqu'à 15 dossiers gérés.

  • Les noms de dossiers gérés ne peuvent pas commencer par .well-known/acme-challenge/.

  • Les dossiers gérés ne peuvent pas être nommés . ou ...

Nous vous recommandons vivement d'éviter les éléments suivants dans les noms de vos dossiers gérés :

  • Les caractères de contrôle illégaux dans XML 1.0 (#x7F–#x84 et #x86–#x9F) : ces caractères entraînent des problèmes de liste XML lorsque vous tentez de répertorier vos dossiers gérés.

  • Les caractères [, ], * ou ? : la Google Cloud CLI interprète ces caractères comme des caractères génériques. Par conséquent, leur inclusion dans les noms de dossiers gérés peut rendre difficile, voire impossible, l'exécution d'opérations génériques avec l'outil. De plus, * et ? ne sont pas des caractères valides pour les noms de fichiers sous Windows.

  • Informations sensibles ou informations permettant d'identifier l'utilisateur : les noms de dossiers gérés sont plus visibles que les données d'objet. Par exemple, les noms de dossier gérés apparaissent dans les URL des objets ou des listes d'objets d'un bucket.

Points à prendre en compte

Lorsque vous travaillez avec des dossiers gérés, tenez compte des points suivants :

  • Les dossiers gérés peuvent être créés à la place des dossiers simulés, ce qui signifie que vous pouvez créer un dossier géré et le nommer d'après le préfixe d'un objet, à condition qu'il n'existe pas déjà un dossier géré portant ce nom. Par exemple, vous pouvez créer un dossier géré nommé my-folder/, même si vous avez un objet existant nommé my-folder/object.txt. Notez que la stratégie IAM sur le dossier géré my-folder/ s'appliquera alors à tous les objets qui ont my-folder/ comme préfixe de nom.

  • Vous pouvez créer des dossiers gérés enfants avant la création du dossier géré parent. Par exemple, vous pouvez créer un dossier géré nommé my-folder-A/my-folder-B/ sans avoir créé au préalable un dossier géré nommé my-folder-A/.

  • Par défaut, vous ne pouvez pas supprimer un dossier géré non vide qui contient des objets ou d'autres dossiers gérés enfants. Vous pouvez contourner cette règle lorsque vous utilisez le paramètre allowNonEmpty dans une requête d'API JSON Delete ManagedFolder.

Étapes suivantes