本頁面說明使用 API 傳送要求的使用者如何從 Amazon Simple Storage Service (Amazon S3) 遷移至 Cloud Storage。如果您目前並非使用 Amazon S3,而想要透過 Cloud Storage API 傳送要求,請改成參考 XML API 總覽一文。
如果您初次接觸 Cloud Storage,而且不會直接使用 API,請考慮使用 Google Cloud Platform 主控台設定和管理移轉作業。Google Cloud Platform 主控台提供 Cloud Storage 的圖形介面,讓您僅需使用瀏覽器即可完成許多儲存工作,包括從 Amazon S3 將資料遷移至 Cloud Storage。
遷移作業總覽
如果您是 Amazon S3 使用者,則很輕鬆就能遷移使用 Amazon S3 的應用程式,而使其改用 Cloud Storage。您有下列兩種遷移選項:
- 簡易遷移
簡易遷移只需要針對您目前搭配 Amazon S3 使用的工具和程式庫進行幾項簡單的變更,因此如果您原本是使用 Amazon S3,則簡易遷移可讓您以最簡單的方式開始使用 Cloud Storage。詳情請參閱簡易遷移一節。
雖然簡易遷移可讓您快速地開始使用 Cloud Storage,但是您卻無法使用所有 Cloud Storage 功能。如要充分利用 Cloud Storage,請按照下列步驟操作以進行完整遷移。
- 完整遷移
相較於簡易遷移,從 Amazon S3 到 Cloud Storage 的完整遷移需要進行一些額外的步驟,但優點是您可以使用 Cloud Storage 的所有功能,包括服務帳戶支援、多個專案以及驗證所需的 OAuth 2.0。詳情請參閱完整遷移一節。
簡易遷移
如果從 Amazon S3 簡易遷移至 Cloud Storage,您可使用現有工具和程式庫產生向 Amazon S3 發出的已驗證 REST 要求,如此也能一併向 Cloud Storage 傳送已驗證的要求。本節將說明您必須對現有工具和程式庫進行的變更。
如要完成簡易遷移的設定,請執行下列步驟:
- 設定預設的 Google 專案。
- 取得開發人員金鑰。
在您現有的工具或程式碼中進行下列變更:
- 將要求端點變更為使用 Cloud Storage 要求端點。
- 將 Amazon Web Services (AWS) 存取金鑰和密鑰換成對應的 Cloud Storage 存取金鑰和密鑰 (統稱為 Google 開發人員金鑰)。
這樣就可以了!現在您可以開始使用現有的工具和程式庫,將金鑰雜湊訊息驗證碼 (HMAC) 要求傳送至 Cloud Storage。
例如下列範例顯示如何使用 Amazon S3 SDK 列出 Cloud Storage 值區:
Java
Python
請注意,雖然大部分動作可使用 Amazon S3 V2 SDK,但只有 Amazon S3 V1 清單物件方法才能列出物件。以下範例顯示這類列出物件的方法:
Java
Python
當您在簡易遷移情境中使用 Cloud Storage XML API 時,透過在 Authorization 標頭中指定 AWS 簽名識別碼,可讓 Cloud Storage 瞭解您的要求中有 x-amz-* 標頭和 Amazon S3 ACL XML 語法。
設定預設專案
您必須選擇預設專案,才能在簡易遷移情境中使用 Cloud Storage。當您選擇預設專案時,即告訴 Cloud Storage 專案是針對 GET 服務或 PUT 值區等操作使用。
如何設定預設專案:
- 在 Google Cloud Platform 主控台中中開啟「Cloud Storage Settings」(Cloud Storage 設定) 頁面。
- 選取 [Interoperability] (互通性)。
按一下 [Make this PROJECT-ID my default project] (將此 PROJECT-ID 設為預設專案)。
如果專案已經是預設專案,您會看到 [PROJECT-ID is your default project] (PROJECT-ID 是您的預設專案)。
這個專案現在即為預設專案。您隨時可選擇不同專案,並為該專案啟用可互通存取權,藉此變更您的預設專案。
管理簡易遷移的開發人員金鑰
如要在簡易遷移情境中使用 Cloud Storage XML API,您必須使用 Cloud Storage 開發人員金鑰進行金鑰雜湊訊息驗證碼 (HMAC) 驗證。開發人員金鑰包含一組存取金鑰和密鑰。存取金鑰為一組 24 個字元的英數字串,與您的 Google 帳戶相連結。所有已驗證的 Cloud Storage 要求 (不包含使用 Cookie 型驗證的要求) 都必須在要求中使用存取金鑰,以讓 Cloud Storage 系統知道提出要求的對象是誰。以下為存取金鑰範例:
GOOGTS7C7FUP3AIRVJTE2BCD
密鑰是一組由 40 個字元組成且以 Base-64 編碼的字串,其與特定的存取金鑰相連結。密鑰是只有您和 Cloud Storage 系統知道的預先共用金鑰。您必須使用密鑰簽署所有要求,才能完成驗證程序。以下為密鑰範例:
bGoa+V7g/yqDXvKRqq+JTFn4uQZbPiQJo4pf9RzJ
如何產生開發人員金鑰:
- 在 Google Cloud Platform 主控台中中開啟「Cloud Storage Settings」(Cloud Storage 設定) 頁面。
- 選取 [Interoperability] (互通性)。
- 如果您之前未設定互通性,請點選 [Enable interoperability access] (啟用互通性存取權)。
- 按一下 [Create a new key] (建立新的金鑰)。
使用開發人員金鑰的安全性提示
您最多可以建立五個開發人員金鑰;如此當您手邊有多個專案在進行時,可以針對個別專案使用不同的開發人員金鑰。
此外,您也可以透過金鑰管理工具來刪除開發人員金鑰及建立新的開發人員金鑰。比如說,如果您認為有人盜用您的開發人員金鑰,或是需要變更金鑰以完成金鑰輪替 (此為確保安全性的最佳做法),就可以這麼做。如果您已經擁有開發人員金鑰,但想要建立新的金鑰,建議您在刪除舊的金鑰之前,先使用新的開發人員金鑰更新程式碼。開發人員金鑰在刪除後會立即失效,且無法復原。
在簡易遷移情境中進行驗證
Authorization 標頭
如果您要在簡易遷移情境中進行需要驗證的操作,則必須包含 Authorization 要求標頭,就像對 Amazon S3 提出要求時一樣。Amazon S3 要求的 Authorization 標頭語法為:
Authorization: AWS4-HMAC-SHA256 Credential=AWS-ACCESS-KEY/CREDENTIAL_SCOPE, SignedHeaders=SIGNED_HEADERS, Signature=SIGNATURE
在簡易遷移情境中,您只需要將標頭變更為使用 Google Developer 存取金鑰,並確保您附加的 Signature 是以 Google Developer 密鑰金鑰計算:
Authorization: ALGORITHM Credential=GOOG-ACCESS-KEY/CREDENTIAL_SCOPE, SignedHeaders=SIGNED_HEADERS, Signature=SIGNATURE
Authorization 標頭的各個部分為:
ALGORITHM:您使用的簽名演算法及版本。使用
AWS4-HMAC-SHA256代表您使用 HMAC V4 簽名,並打算傳送x-amz-*標頭。您也可使用GOOG4-HMAC-SHA256,這代表您使用 HMAC V4 簽名,並打算傳送x-goog-*標頭。GOOG-ACCESS-KEY:存取金鑰,可識別提出和簽署要求的實體。在簡易遷移中,請將您用來存取 Amazon S3 的 Amazon Web Service (AWS) 存取金鑰 ID 換成 Google 開發人員存取金鑰。您的 Google 開發人員存取金鑰開頭為
GOOG。CREDENTIAL_SCOPE:憑證範圍是具有下列結構的字串:
DATE/LOCATION/SERVICE/REQUEST_TYPE
- DATE:日期格式為 YYYYMMDD。
- LOCATION:資源所在或即將建立的地區。
- SERVICE:服務名稱。
- REQUEST_TYPE:要求類型。
以下是 Amazon S3 類型的憑證範圍範例:
20150830/us-east-1/iam/aws4_request
在簡易遷移中,如果您使用
AWS4-HMAC-SHA256作為 ALGORITHM 值,就不必變更憑證範圍。如果您要使用GOOG4-HMAC-SHA256,請將aws4_request更換為goog4_request。SIGNED_HEADERS:簽署此要求時必須納入的標頭名稱清單 (以分號分隔)。所有標頭應採用小寫,並依據字元代碼排序。
以下是 Amazon S3 類型的簽署標頭字串範例:
content-type;host;x-amz-date
在簡易遷移中,您不必對已簽署標頭字串進行任何變更。
SIGNATURE:欲簽署字串的加密雜湊,允許對要求進行驗證。簽名是使用 HMAC-SHA256 作為雜湊函式所建立,並由密鑰及憑證範圍衍生金鑰作為加密金鑰。結果摘要即會以 Base64 進行編碼。Cloud Storage 收到您簽署的要求時,即會使用存取金鑰查詢您的密鑰,並確認是由您建立該簽名。如要進一步瞭解如何取得存取金鑰和密鑰,請參閱管理開發人員金鑰以在簡易遷移情境中進行存取的說明。
在簡易遷移中,將 AWS 存取權密鑰換成當做加密編譯金鑰的 Google 開發人員密鑰。
驗證計算
本節將說明在簡易遷移情境中驗證 XML API 要求的程序。雖然本節可用來開發您自己的簽署要求程式碼,但如果您已有將要求簽署至 Amazon S3 的工具或程式碼,則本節內容主要做為檢查之用。在這種情況下,您可以繼續透過這類工具使用 XML API 存取 Cloud Storage,但必須進行下列變更。
這種驗證方法可鑑別身分並提供強大的驗證機制,而無需透露您的密鑰。如果您在每個要求中提供身分與驗證,有助於確保每個 Cloud Storage 要求都能透過特定的使用者帳戶進行處理,並具備該使用者帳戶的授權。這是因為只有您和 Cloud Storage 系統知道您的密鑰。當您建立要求時,Cloud Storage 系統會使用您的密鑰來計算簽名,確認與您在建立要求時所計算的簽名是否相同。如果簽名相符,Cloud Storage 系統就會知道您即為建立該要求的使用者。
下列虛擬程式碼說明如何為 Authorization 標頭建立簽名:
Signature = HexEncode(HMAC-SHA256(SiginingKey, StringToSign))
如要建立簽名,您必須使用 HMAC-SHA256 加密編譯雜湊函式。HMAC-SHA256 是一種雜湊架構訊息驗證代碼 (MAC),詳情請參閱 RFC 4868 文件。這種代碼需要兩個採用 UTF-8 編碼的輸入參數,分別為簽署金鑰與欲簽署字串。
簽署金鑰是由 Cloud Storage 密鑰衍生,專屬於與您要求有關的日期、地點、服務及要求類型。此外,這些值必須符合憑證範圍指定的值。下列虛擬程式碼說明如何建立簽署金鑰:
key_date = HMAC-SHA256("AWS4" + GOOG-ACCESS-KEY, "YYYYMMDD")
key_region = HMAC-SHA256(key_date, "us-east-1")
key_service = HMAC-SHA256(key_region, "s3")
signing_key = HMAC-SHA256(key_service, "aws4_request")
其中 GOOG-ACCESS-KEY 識別提出及簽署要求的實體。
欲簽署字串包含要求及您要簽署的標準化要求的相關資訊。下列虛擬程式碼說明如何建構欲簽署字串,包括在各個元素之間使用新行:
SigningAlgorithm RequestDateTime CredentialScope HashedCanonicalRequest
欲簽署字串具有下列元件:
- SigningAlgorithm:對簡易遷移而言,這應為
AWS4-HMAC-SHA256。 - RequestDateTime:目前的日期與時間,使用 ISO 8601 格式:
YYYYMMDD'T'HHMMSS'Z'。 - CredentialScope:要求的憑證範圍,用於簽署欲簽署字串,詳情請參閱驗證標頭一節。
HashedCanonicalRequest:十六進位編碼的標準化要求 SHA-256 雜湊。使用 SHA-256 雜湊函式建立標準化要求的雜湊值。您的程式設計語言應具有程式庫用於建立 SHA-256 雜湊。雜湊值範例如下:
436b7ce722d03b17d3f790255dd57904f7ed61c02ac5127a0ca8063877e4e42c
欲簽署字串範例如下:
AWS4-HMAC-SHA256 20190301T190859Z 20190301/us-east-1/s3/aws4_request 54f3076005db23fbecdb409d25c0ccb9fb8b5e24c59f12634654c0be13459af0
標準化要求
標準化要求是指標準化格式的 HTTP 要求,其中包括您所要簽署要求的相關資訊。這樣可以確保在 Cloud Storage 接收要求時,可以計算您計算的相同簽名。如果您的版本與 Cloud Storage 計算的版本不符,要求就會失敗。
標準化要求應具備下列結構,包括在各個元素之間使用新行:
HTTP_VERB PATH_TO_RESOURCE CANONICAL_QUERY_STRING CANONICAL_HEADERS SIGNED_HEADERS HexEncode(HMAC-SHA256(REQUEST_PAYLOAD))
標準化要求具有下列元件:
HTTP_VERB:搭配使用已簽署要求的 HTTP 動詞。如需允許值清單,請參閱 HTTP 動詞。
PATH_TO_RESOURCE:通往資源的路徑,自主機名稱之後開始。
CANONICAL_QUERY_STRING:要求使用已簽署要求時必須納入的查詢字串參數。依據字母順序新增查詢字串參數,並以
&分隔。CANONICAL_HEADERS:要求標頭的
name:value配對,必須納入使用已簽署要求的要求之中,包括延伸標頭。依據字母順序新增標頭,並以\n分隔。SIGNED_HEADERS:CANONICAL_HEADERS 的標頭名稱清單。如要建立已簽署標頭清單,請將所有標頭名稱轉換為小寫,依據字元代碼進行排序,然後使用分號分隔標頭名稱。
HexEncode(HMAC-SHA256(REQUEST_PAYLOAD)):十六進位編碼的 SHA-256 雜湊要求酬載。此字串必須出現在標準化要求的最後一行。如果酬載是空白的,請使用空白字串作為雜湊函式輸入。雜湊酬載 (空白酬載) 範例如下:
3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
您遵循先前介紹的標準化要求虛擬程式碼,並將所有元素結合在一起後,就應該會取得如以下範例所示的標準化要求字串:
GET / host:storage.googleapis.com x-amz-content-sha256:e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 x-amz-date:20190301T190859Z host;x-amz-content-sha256;x-amz-date e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
驗證要求範例
下列範例會將名為 /europe/france/paris.jpg 的物件上傳至 my-travel-maps 的值區、套用預先定義的 ACL public-read,以及為審核者定義自訂中繼資料標頭。以下是向 Amazon S3 值區提出的要求:
PUT europe/france/paris.jpg HTTP/1.1 Host: my-travel-maps.s3.amazonaws.com Date: Mon, 11 Mar 2019 23:46:19 GMT Content-Length: 888814 Content-Type: image/jpg x-amz-acl: public-read x-amz-date:20190311T192918Z x-amz-meta-reviewer: joe,jane Authorization: AWS4-HMAC-SHA256 Credential=AWS-ACCESS-KEY/20190311/us-east-1/s3/aws4_request, SignedHeaders=content-length;content-type;host;x-amz-acl;x-amz-date;x-amz-meta-reviewer, Signature=SIGNATURE
以下是向 Cloud Storage 值區提出的要求:
PUT europe/france/paris.jpg HTTP/1.1 Host: my-travel-maps.storage.googleapis.com Date: Mon, 11 Mar 2019 23:46:19 GMT Content-Length: 888814 Content-Type: image/jpg x-amz-acl: public-read x-amz-date:20190311T192918Z x-amz-meta-reviewer: joe,jane Authorization: AWS4-HMAC-SHA256 Credential=GOOG-ACCESS-KEY/20190311/us-east-1/s3/aws4_request, SignedHeaders=content-length;content-type;host;x-amz-acl;x-amz-date;x-amz-meta-reviewer, Signature=SIGNATURE
這是為此要求建立的對應標準化要求:
PUT /europe/france/paris.jpg content-length:888814 content-type:image/jpg host:my-travel-maps.storage.googleapis.com x-amz-acl:public-read x-amz-date:20190311T192918Z x-amz-meta-reviewer:joe,jane content-length,content-type,host,x-amz-acl,x-amz-date,x-amz-meta-reviewer 82e3da8b3f35989512e8d428add7eca73ab0e5f36586e66fbad8e1051343cbd2
這是為此要求建立的對應欲簽署字串:
AWS4-HMAC-SHA256 20190311T192918Z 20190311/us-east-1/s3/aws4_request 73918a5ff373d7a03e406fbf9ea35675396b06fca2af76c27a5c451fa783ef65
此要求並未提供 Content-MD5 標頭,因此訊息第二行會顯示空字串。
簡易遷移情境中的存取權控管
Cloud Storage 必須接受 Amazon S3 產生的 ACL,才能支援簡易遷移。在簡易遷移情境中,您將會使用 AWS 當做簽名識別碼,讓 Cloud Storage 瞭解將會收到採用 Amazon S3 ACL XML 語法的 ACL 語法。您應確保使用的 Amazon S3 ACL 會對應至 Cloud Storage ACL 模型。舉例來說,如果您的工具和程式庫使用 Amazon S3 的 ACL 語法授予值區的 WRITE 權限,那麼這些工具和程式庫也必須授予值區的 READ 權限 (因為 Cloud Storage 採用同心圓權限)。當您使用 Cloud Storage 語法授予 WRITE 權限時,不需要同時指定 WRITE 和 READ 權限。
在以下情境中,Cloud Storage 支援 Amazon S3 ACL 語法:
- 向 Cloud Storage 提出擷取 ACL 的要求時 (例如 GET Object 或 GET Bucket 要求),Cloud Storage 會傳回 Amazon S3 ACL 語法。
- 向 Cloud Storage 提出套用 ACL 的要求時 (例如 PUT Object 或 PUT Bucket 要求),Cloud Storage 預期會收到 Amazon S3 ACL 語法。
簡易遷移情境中的 Authorization 標頭將會使用 AWS 當做簽名識別碼,但是會搭配您的 Google 存取金鑰。
Authorization: AWS4-HMAC-SHA256 Credential=AWS-ACCESS-KEY/CREDENTIAL_SCOPE, SignedHeaders=SIGNED_HEADERS, Signature=SIGNATURE
下列範例說明向 Cloud Storage 提出之傳回物件 ACL 的 GET 要求。
GET europe/france/paris.jpg?acl HTTP/1.1 Host: my-travel-maps.storage.googleapis.com Date: Thu, 21 Feb 2019 23:50:10 GMT Content-Type: application/xml X-Amz-Date: 20190221T235010Z Authorization: AWS4-HMAC-SHA256 Credential=GOOGMC5PDPA5JLZYQMHQHRAX/20190221/region/s3/aws4_request, SignedHeaders=host;x-amz-date, Signature=29088b1d6dfeb2549f6ff67bc3744abb7e45475f0ad60400485805415bbfc534
要求的回應包括使用 Amazon S3 ACL 語法的 ACL。
<?xml version='1.0' encoding='UTF-8'?>
<AccessControlPolicy>
<Owner>
<ID>00b4903a972faa8bcce9382686e9129676f1cd6e5def1f5663affc2ba4652490
</ID>
<DisplayName>OwnerName</DisplayName>
</Owner>
<AccessControlList>
<Grant>
<Grantee xmlns:xsi='http://www.w3.org/2001/XMLSchema-instance'
xsi:type='CanonicalUser'>
<ID>00b4903a972faa8bcce9382686e9129676f1cd6e5def1f5663affc2ba4652490</ID>
<DisplayName>UserName</DisplayName>
</Grantee>
<Permission>FULL_CONTROL</Permission>
</Grant>
</AccessControlList>
</AccessControlPolicy>
下列範例說明向 Cloud Storage 提出之設定物件 ACL 的 PUT 要求。範例說明採用 Amazon S3 ACL 語法的要求主體。
PUT europe/france/paris.jpg?acl HTTP/1.1
Host: my-travel-maps.storage.googleapis.com
Date: Thu, 21 Feb 2019 23:50:10 GMT
Content-Type: application/xml
Content-Length: 337
X-Amz-Date: 20190221T235010Z
Authorization: AWS4-HMAC-SHA256 Credential=GOOGMC5PDPA5JLZYQMHQHRAX/20190221/region/s3/aws4_request, SignedHeaders=host;x-amz-date, Signature=29088b1d6dfeb2549f6ff67bc3744abb7e45475f0ad60400485805415bbfc534
<?xml version='1.0' encoding='utf-8'?>
<AccessControlPolicy>
<AccessControlList>
<Grant>
<Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="AmazonCustomerByEmail">
<EmailAddress>jane@gmail.com</EmailAddress>
</Grantee>
<Permission>FULL_CONTROL</Permission>
</Grant>
</AccessControlList>
</AccessControlPolicy>
最後,您也可以在簡易遷移情境的 Authorization 標頭中使用 GOOG1 簽名識別碼。在這種情況下,您必須使用 Cloud Storage ACL 語法,並確保所有標頭均為 Google 標頭 x-goog-*。雖然上述做法可行,但我們還是建議您按照下列說明進行完整遷移,以充分利用 Cloud Storage 的所有優勢。
完整遷移
如果您從 Amazon S3 完整遷移至 Cloud Storage,則可充分利用 Cloud Storage 的所有功能,包括:
- 支援服務帳戶
- 服務帳戶非常適合用於伺服器之間不需要使用者進行操作的互動。詳情請參閱服務帳戶一文。
- 支援多個專案
- 如果使用多個專案,您實際上就擁有 Cloud Storage 服務的許多執行個體,這能讓您視需要針對應用程式或業務區分不同功能或服務。詳情請參閱使用專案說明。
- OAuth 2.0 驗證
- OAuth 2.0 透過 SSL 維護安全性,因此無需要求應用程式直接執行加密編譯簽署,如此也更易於實作。如果使用 OAuth,應用程式就能要求存取使用者 Google 帳戶的相關資料,此外您還可以將存取權分成唯讀、讀寫和完整控制權幾種層級。詳情請參閱 OAuth 2.0 驗證說明。
您必須進行下列變更,才能從 Amazon S3 完整遷移至 Cloud Storage:
- 將任何現有的
x-amz-*標頭變更為對應的x-goog-*標頭。 - 將 AWS 存取控制清單 (ACL) XML 變更為對應的 Cloud Storage ACL XML (請參閱指定值區與物件 ACL 說明)。
- 在要求中設定 x-goog-project-id 標頭。請注意,在簡易遷移情境中,您會選取用於所有要求的預設專案。但是,您在完整遷移中不需要這麼做。
依照 OAuth 2.0 驗證說明所述,完成設定以使用 OAuth 2.0 驗證。第一步是向 Google 註冊您的應用程式 (亦即您發出要求之處)。如果使用 OAuth 2.0,
Authorization標頭看起來會如下所示:Authorization: Bearer <oauth2_token>
完整遷移中的存取權控管
本節列舉幾個存取權控管的範例,以協助您從 Amazon S3 遷移至 Cloud Storage。如需 Cloud Storage 中存取權控管的總覽,請參閱存取權控管相關頁面。
在 Cloud Storage 中,您可以透過幾種方式將 ACL 套用至值區和物件 (請參閱指定值區與物件 ACL 說明)。其中兩種指定 ACL 的方式類似您在 Amazon S3 中進行的操作:
acl查詢字串參數可針對特定範圍套用 ACL。x-goog-acl要求標頭可讓您套用預先定義的 ACL (或稱為固定 ACL)。
使用 acl 查詢字串參數
您可將 acl 查詢字串參數用於 Cloud Storage 要求,方式和 Amazon S3 要求的做法完全相同。acl 參數會和 PUT 方法結合使用,可將 ACL 套用至下列項目:現有物件、現有值區或您正在建立的值區。在 PUT 要求中使用 acl 查詢字串參數時,您必須將 XML 文件 (使用 Cloud Storage ACL 語法) 附加至要求主體。XML 文件包含您要套用至值區或物件的個別 ACL 項目。
下列範例說明如何向 Amazon S3 提出使用 acl 查詢字串參數的 PUT 要求,而 ACL 是在要求主體中傳送的 XML 文件中定義。PUT 要求會針對 my-travel-maps 值區中的 europe/france/paris.jpg 物件變更 ACL,接著 ACL 會將 FULL_CONTROL 權限授予 jane@gmail.com。
PUT europe/france/paris.jpg?acl HTTP/1.1
Host: my-travel-maps.s3.amazonaws.com
Date: Wed, 06 Nov 2013 19:28:18 GMT
Content-Length: 598
Content-Type: application/xml
Authorization: AWS4-HMAC-SHA256 Credential=AWS-ACCESS-KEY/20131106/us-east-1/s3/aws4_request, SignedHeaders=content-length;content-type;date;host, Signature=4c45f25bb679fdab0de5a287625d6a143414728d93c9aeb9f4cc91c33a1c45fg
<?xml version='1.0' encoding='utf-8'?>
<AccessControlPolicy>
<Owner>
<ID>5a6557ba40f7c86496ffceae789fcd888abc1b62a7149873a0fe12c0f60a7d95</ID>
<DisplayName>ownerEmail@example.com</DisplayName>
</Owner>
<AccessControlList>
<Grant>
<Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser">
<ID>fd447671d60b979f78ee6fcec7b22afc80e6b26a4db16eed01afb8064047949b</ID>
<DisplayName>jane@gmail.com</DisplayName>
</Grantee>
<Permission>FULL_CONTROL</Permission>
</Grant>
</AccessControlList>
</AccessControlPolicy>
以下是向 Cloud Storage 提出的相同要求:
PUT europe/france/paris.jpg?acl HTTP/1.1
Host: my-travel-maps.storage.googleapis.com
Date: Wed, 06 Nov 2013 19:37:33 GMT
Content-Length: 268
Content-Type: application/xml
Authorization: Bearer ya29.AHES6ZRVmB7fkLtd1XTmq6mo0S1wqZZi3-Lh_s-6Uw7p8vtgSwg
<?xml version='1.0' encoding='utf-8'?>
<AccessControlList>
<Entries>
<Entry>
<Permission>FULL_CONTROL</Permission>
<Scope type="UserByEmail">
<EmailAddress>jane@gmail.com</EmailAddress>
</Scope>
</Entry>
</Entries>
</AccessControlList>
請注意,Cloud Storage 的 ACL XML 文件不需要使用 <Owner/> 元素。詳情請參閱預設物件 ACL 說明。
您也可以同時使用 acl 查詢字串參數和 GET 方法來擷取值區和物件 ACL。ACL 會在附加於回應主體的 XML 文件中描述。您必須具備 FULL_CONTROL 權限才能套用或擷取物件或值區的 ACL。
使用延伸要求標頭套用 ACL
您可以在 Cloud Storage 要求中使用 x-goog-acl 標頭,將預先定義的 ACL 套用至值區和物件;此做法和在 Amazon S3 要求中使用 x-amz-acl 標頭的方法如出一轍。當您建立或上傳值區或物件時,通常都是使用 x-goog-acl (x-amz-acl) 標頭將預先定義的 ACL 套用至值區或物件。Cloud Storage 預先定義 ACL 類似 Amazon S3 固定 ACL,其中包含 private、public-read、public-read-write 以及其他類型。如需 Cloud Storage 預先定義 ACL 的清單,請參閱預先定義的 ACL 說明。
下列範例說明的 PUT Object 要求會將 public-read ACL 套用至正在上傳至 Amazon S3 my-travel-maps 值區的 europe/france/paris.jpg 物件。
PUT europe/france/paris.jpg HTTP/1.1 Host: my-travel-maps.s3.amazonaws.com Date: Wed, 06 Nov 2013 20:48:42 GMT Content-Length: 888814 Content-Type: image/jpg x-amz-acl: public-read Authorization: AWS4-HMAC-SHA256 Credential=AWS-ACCESS-KEY/20131106/us-east-1/s3/aws4_request, SignedHeaders=content-length;content-type;date;host, Signature=808150c37dbd1b425b2398421d6fc3dd6d4942dfaae9e519fd5835aa62fd62ab <888814 bytes in entity body>
以下是向 Cloud Storage 提出的相同要求:
PUT europe/france/paris.jpg HTTP/1.1 Host: my-travel-maps.storage.googleapis.com Date: Wed, 06 Nov 2013 20:49:57 GMT Content-Length: 888814 Content-Type: image/jpg x-goog-acl: public-read Authorization: Bearer ya29.AHES6ZRVmB7fkLtd1XTmq6mo0S1wqZZi3-Lh_s-6Uw7p8vtgSwg <888814 bytes in entity body>
您也可以使用 x-goog-acl 標頭將預先定義的 ACL 套用至現有的值區或物件;方法是在要求中加入 acl 查詢字串參數,但不要在要求中附上 XML 文件。如果您想從某個預先定義的 ACL 變更為其他預先定義的 ACL,或是將自訂 ACL 更新為預先定義的 ACL,那麼將預先定義的 ACL 套用至現有物件或值區的方式即可派上用場。舉例來說,下列 PUT Object 要求會將預先定義的 ACL private 套用至 my-travel-maps 值區中的 europe/france/paris.jpg 物件。
PUT europe/france/paris.jpg?acl HTTP/1.1 Host: my-travel-maps.storage.googleapis.com Date: Wed, 06 Nov 2013 00:26:36 GMT Content-Length: 0 x-goog-acl: private Authorization: Bearer ya29.AHES6ZRVmB7fkLtd1XTmq6mo0S1wqZZi3-Lh_s-6Uw7p8vtgSwg <empty entity body>
要進一步瞭解如何管理 ACL,請參閱管理存取權控管說明。
從 Amazon S3 遷移至 Cloud Storage 要求方法
如需在值區執行資料讀寫作業,Cloud Storage 支援的標準 HTTP 要求方法和 Amazon S3 支援的要求方法相同。因此,您目前與 Amazon S3 搭配使用的工具和程式庫,大部分均可用於 Cloud Storage。Cloud Storage 支援下列要求方法:
- GET Service 要求。
- PUT、GET、DELETE 等 Bucket 要求。
- GET、POST、PUT、HEAD 和 DELETE 等 Object 要求。
詳情請參閱 XML API 參考方法說明。請注意,傳送要求給 Cloud Storage 時,您必須在適用的情況下變更要求主體,使其改用適當的 Cloud Storage 語法。例如,當您建立值區的生命週期設定時,請改用 Cloud Storage 生命週期 XML,而不是使用 Amazon S3 生命週期 XML。
以下摘要說明 Cloud Storage XML API 和 Amazon S3 之間的一些差異,並列舉建議的 Cloud Storage 替代項目:
| Amazon S3 功能 | Cloud Storage XML API 功能 |
|---|---|
| 多部分上傳作業。 POST /<object-name>, PUT /<object-name> |
在 Cloud Storage XML API 中,您可以上傳一系列元件物件,系統即會針對每個元件執行個別的上傳作業。接著,您就能將物件撰寫至單一的複合物件。 注意:雖然 JSON API 提供多部分上傳功能,但是此功能是用於隨物件資料一起傳送中繼資料,因此並不等同於 S3 的多部分上傳功能。 |
GET/POST 值區查詢字串參數:
|
替代方式:
|
| 刪除多個物件。 POST /?delete |
使用 gsutil rm 指令輕鬆地移除多個物件。rm 指令支援「-m」選項,可執行平行 (多執行緒/多重處理) 刪除作業。 此外,JSON API 也支援傳送批次要求,可減少用戶端建立的 HTTP 連線數量。 |
從 Amazon S3 遷移至 Cloud Storage 標頭
Cloud Storage 可使用多個標準 HTTP 標頭,以及多個自訂 (擴充) HTTP 標頭。如果您從 Amazon S3 遷移至 Cloud Storage,則會將自訂的 Amazon S3 標頭轉換為對應的 Cloud Storage 自訂標頭或類似的功能,如下表所示。
| Amazon S3 標頭 | Cloud Storage 標頭 |
|---|---|
x-amz-acl |
x-goog-acl |
x-amz-date |
x-goog-date |
x-amz-meta-* |
x-goog-meta-* |
x-amz-grant-* |
具有預先定義 ACL 值的 x-goog-acl。 |
x-amz-copy-source |
x-goog-copy-source |
x-amz-metadata-directive |
x-goog-metadata-directive |
x-amz-copy-source-if-match |
x-goog-copy-source-if-match |
x-amz-copy-source-if-none-match |
x-goog-copy-source-if-none-match |
x-amz-copy-source-if-unmodified-since |
x-goog-copy-source-if-unmodified-since |
x-amz-copy-source-if-modified-since |
x-goog-copy-source-if-modified-since |
x-amz-server-side-encryption |
非必要。Cloud Storage 將資料寫入磁碟之前,會自動加密所有資料。詳情請參閱加密相關頁面。 |
x-amz-storage-class |
建立值區時,您可以指定儲存空間級別。詳情請參閱儲存空間級別一文。 |
x-amz-mfa |
使用 OAuth 2.0 驗證。 |
x-amz-website-redirect-location、x-amz-copy-source-range |
不適用 |
XML API 與 Amazon S3 相容性的討論群組與支援
先前支援 XML API 互通性和遷移問題的 Cloud Storage gs-discussion 群組現在處於封存模式。您現在可在 Stack Overflow 上使用 google-cloud-storage 標記存取討論論壇。要進一步瞭解討論論壇及訂閱公告,請參閱資源和支援頁面。
需要協助嗎?請前往我們的