Cloud Storage で実行されるほとんどのオペレーションでは認証が必要になります。唯一の例外は、匿名アクセスが許可されているリソースに対するオペレーションです。リソースの ACL に allUsers グループが含まれている場合、またはリソースに適用される IAM ポリシーに allUsers グループが含まれている場合、リソースは匿名アクセスが可能です。allUsers グループには、インターネット上のすべてのユーザーが含まれます。
認可は、認証されたユーザーが、指定のリソースに対してどのような権限を持つかを判定する処理です。OAuth 2.0 では、認証されたユーザーを承認するかどうかを判定するために、スコープを使用します。アプリケーションは認証情報(ユーザー中心の認証フローやサーバー中心の認証フローで取得したもの)と、1 つ以上のスコープを使って、保護されたリソースにアクセスするためのアクセス トークンを Google 承認サーバーに要求します。たとえば、スコープが read-only に設定されたアクセス トークンを持つアプリケーション A にはデータの読み取りのみが許可されますが、スコープが read-write に設定されたアクセス トークンを持つアプリケーション B には、データの読み取りと変更が許可されます。いずれのアプリケーションもオブジェクトとバケットに適用されるアクセス制御リストの読み取りと変更は許可されません。これらの操作を行えるのは、full-control のスコープを持つアプリケーションのみです
| 型 | 説明 | スコープの URL |
|---|---|---|
read-only |
バケットの一覧表示を含め、データを読み取るためのアクセスのみを許可します。 | https://www.googleapis.com/auth/devstorage.read_only |
read-write |
データの読み取りと変更のアクセスは許可しますが、IAM ポリシーなどのメタデータへのアクセスは許可しません。 | https://www.googleapis.com/auth/devstorage.read_write |
full-control |
IAM ポリシーの変更を含め、データに対する完全アクセス権を許可します。 | https://www.googleapis.com/auth/devstorage.full_control |
cloud-platform.read-only |
Google Cloud サービス全体のデータを表示します。Cloud Storage の場合、これは devstorage.read-only と同じです。 |
https://www.googleapis.com/auth/cloud-platform.read-only |
cloud-platform |
すべての Google Cloud サービスにわたるデータを表示して管理します。Cloud Storage の場合、これは devstorage.full-control と同じです。 |
https://www.googleapis.com/auth/cloud-platform |