Cloud Storage에서 수행하는 대부분의 작업은 인증을 거쳐야 합니다. 유일한 예외는 익명 액세스를 허용하는 리소스 관련 작업입니다. allUsers 그룹이 리소스의 ACL에 포함되어 있거나 allUsers 그룹이 리소스에 적용되는 IAM 정책에 포함된 경우 리소스에 익명 액세스 권한이 있습니다. allUsers 그룹에는 인터넷에 연결된 모든 사용자가 포함됩니다.
승인은 지정된 리소스 조합에 대해 인증된 ID가 갖는 권한을 결정하는 프로세스입니다. OAuth 2.0은 범위를 사용하여 인증된 ID가 승인되었는지 확인합니다. 애플리케이션은 사용자 중심 또는 서버 중심 인증 흐름에서 얻은 사용자 인증 정보를 하나 이상의 범위와 함께 사용하여 보호되는 리소스 액세스를 위한 Google 승인 서버의 액세스 토큰을 요청합니다. 예를 들어 read-only 범위를 포함하는 액세스 토큰이 있는 애플리케이션 A는 읽기만 가능하며, read-write 범위를 포함하는 액세스 토큰이 있는 애플리케이션 B는 데이터를 읽고 수정할 수 있습니다. 두 애플리케이션 모두 객체와 버킷의 액세스제어 목록(ACL)을 읽거나 수정할 수 없으며, full-control 범위가 있는 애플리케이션만 이를 수행할 수 있습니다.
| 유형 | 설명 | 범위 URL |
|---|---|---|
read-only |
버킷 나열을 포함한 데이터 읽기 액세스 권한만 허용합니다. | https://www.googleapis.com/auth/devstorage.read_only |
read-write |
IAM 정책과 같은 메타데이터가 아닌 데이터 읽기 및 변경 액세스 권한을 허용합니다. | https://www.googleapis.com/auth/devstorage.read_write |
full-control |
IAM 정책 수정 기능을 포함하여 데이터에 대한 모든 권한을 허용합니다. | https://www.googleapis.com/auth/devstorage.full_control |
cloud-platform.read-only |
Google Cloud 서비스에서 데이터를 조회합니다. Cloud Storage의 경우 이는 devstorage.read-only와 동일합니다.
|
https://www.googleapis.com/auth/cloud-platform.read-only |
cloud-platform |
모든 Google Cloud 서비스에서 데이터를 보고 관리합니다. Cloud Storage의 경우 이는 devstorage.full-control과 동일합니다. |
https://www.googleapis.com/auth/cloud-platform |